引用第25楼killvxk于2007-05-09 09:43发表的“”:
目前最好的清理方法就是装两个os,互相清理～

V大一语太经典了.....

冥王篇章的故事...

凑凑热闹来学习....

挺有意思  

别啊,有人反当然好,至少菜鸟们可以学学.

同意楼上的说法, 总是反别人的软件然后去钻空子感觉没啥前途,还是要提倡自主创新.

没意思～做这些没有意思的玩意不如开发一个稳定安全可靠而且用的方便的操作系统好～～

搞这些Anti什么的，还不如搞透明加密和虚拟还原，影子系统有意义～
起码那是真正的技术，这些都是技巧性的poc性的物品罗列～～
另外只要目的达到就可以了，至于技术新不新无所谓～

你首先说我shit，然后我说你shit，接着你又说我shit。如果我再说你shit的话，那么就变成无聊的口水仗了，所以就让我先打住吧，阿门~~~

总比一些什么都不出，只会反反别人的东西，在这里扯扯淡的shit要好多了

呵，今天一直忙着新房子的问题，都没有时间上论坛了，看来很热闹嘛。

1、我编写的代码是不太美观，的确让你不爽了， 我对我的代码污染你的眼睛感到遗憾，在此我表示歉意。

2、我从来都没有说过Hook是新技术的说法。实际上，我一直以来都认为它是比较落后了，同样与之相关的直接调用FSD例程的方法当然也是落后的技术，所以我强烈反对周XX及其手下的人使用新一个新名字去“包装”这种落后技术，然后在自己的软件中推出来忽悠人。我认为这种行为简直比Shit还要Shit！！！  

目前最好的清理方法就是装两个os,互相清理～

引用第14楼wowocock于2007-05-08 18:27发表的“”:
自己实现MINI OS吧,不用系统的任何函数，你们好歹也是大公司了，做得应该专业点，嘿嘿。。。。。。

就算这个你也要启动吧，启动时我启发式扫描看看你是不是含有特征，含有那就拒绝启动。

引用第13楼WQXNETQIQI于2007-05-08 17:43发表的“”:
就是干掉目前顽固的家伙而已，没人说要粉碎~（除了名字）
至于其他的iocreatefile之类，想突破都能突破 哈哈 老V能不能想点难突破的办法，不然太无聊了

快突破吧，你突破了，我们就升级了～

另外你们好像还是没有彻底干净的干掉yahoo助手～～

最下贱的HOOK,哈哈,MJ真幽默.

MJ看来好像脾气也很大，以后谁要是娶她可得小心了，哈哈。。。。。。

呵呵

那么请问楼上，破冰我有在论坛上说过吗？
很明显，这个名字只是为了配合宣传
根本就不是我本人的意思

象楼上的楼上的楼上那种完全不懂什么叫软件产品的东西~一辈子只能玩那些最下贱的HOOK了，却还自以为是以为自己玩的是什么新技术？可笑

大家火气都不要太大.我觉得呀楼上的说法是有点火,不过呢,意思还是比较明确.

确实啥技术之类的还是不要太吹,是啥就是啥,比如破冰之类的还是少在技术论坛上用.

这让我想起了一个杀毒软件的广告 (驱动级杀毒技术), 其实懂技术的都知道,在windows 95及以后,基本上没有不带驱动的杀毒软件,否则没法监控文件系统.. 只是一个商业和市场的炒作而已...


我们还是讨论技术,少人身攻击吧.. 大家都息息火,要是还有火,建议喝点王老吉(虽然我总觉得它象中药)

楼上这种自以为是的东西更叫人心理不爽，看到楼上和它的代码就如一堆SHIT一样，吐

技术上的不多说，FSD早就被讨论烂了
写点东西出来用才是正道

我很久以前就曾经跟wowocock说过，如果还采用FSD的方法，Darkspy永远突破不了现在的某些AntiRootkit软件。可惜MJMM没有看到那段话，所以在她的软件中还是使用这种过时的技术，不值得一提矣。

.....
00000166    0.02309651    command 0x1010,kill handled file    
00000167    0.02311355    killfile \??\H:\Inprise\CBuilder5\Projects\{...}\demo\Project1.exe    
00000168    0.02317613    {...}: Exclude DELETE Flag from FILE_SET_INFORMATION.    
00000169    0.02319261    DeleteFile OK!    
.....

你OK什么啊，我根本就没有把IRP发送到Fastfat.sys/Ntfs.sys里边去。

//---------------------------------------------------------------------------
//
// 设置文件相关信息
//
NTSTATUS
HookFsdSetInformation (
    IN PDEVICE_OBJECT   DeviceObject,
    IN PIRP             Irp
    )
{
    PIO_STACK_LOCATION  IrpStack;
    PFILE_OBJECT        FileObject;

    //////

    IrpStack = IoGetCurrentIrpStackLocation(Irp);
    FileObject = IrpStack->FileObject;

    //////

    //
    // 拒绝删除文件
    //
    if(IrpStack->Parameters.SetFile.FileInformationClass == FileDispositionInformation)    
    {
        KdPrint(("{...}: Excludes DELETE Flag from FILE_SET_INFORMATION.\n"));

        Irp->IoStatus.Status = STATUS_SUCCESS;
        Irp->IoStatus.Information = 0;

        IoCompleteRequest(Irp,IO_NO_INCREMENT);

        return STATUS_SUCCESS;
    }

    return HopData.FsdOrigSetInfo(DeviceObject,Irp);
}

------

解决方法只能是自己实现FSD读取原始数据文件，也就是wowocock推荐的。

BTW：MJMM，虽然你“说”过，自己实现了MINI OS，也自己实现了DirectRead/Write Disk（完全饶过系统的FSD/Ftdisk/Disk.sys），但是为什么一直没有publish出来呢？一直想看看你的这些技术。

毕竟，当初牛哄哄的所谓“独创”的“破冰”技术给人家分析之后，居然发现是一堆过时技术的组合，不过换过名字而已。谁知道你的那些MINI OS/DirectRead/Write Disk是不是也是这么回事呢？？？哄人的概念性的东西，还是让周XX去说吧，我们技术人最好不要玩这些虚的东西，就像wowocock说的一样，心理总感觉不爽。

MINI OS是有啦，不用任何函数 ，但是大了慢了，不用

驱动用着挺好，我们不是变态

自己实现MINI OS吧,不用系统的任何函数，你们好歹也是大公司了，做得应该专业点，嘿嘿。。。。。。

就是干掉目前顽固的家伙而已，没人说要粉碎~（除了名字）
至于其他的iocreatefile之类，想突破都能突破 哈哈 老V能不能想点难突破的办法，不然太无聊了