|
阅读:7081回复:27
更彻底的文件隐藏,放出一个RK -- AK922.SYS
该rk样本我只把文件隐藏的部分拿出来了,仅做为技术交流使用,驱动中绝对不含有恶意代码,该驱动只是隐藏它自己的文件而已。由于水平有限,可能有bug。
|
|
|
|
沙发#
发布于:2007-07-31 23:32
|
|
|
板凳#
发布于:2007-07-19 14:36
顶,顶!!!
 |
|
|
|
地板#
发布于:2007-07-19 10:28
我顶你
  |
|
|
地下室#
发布于:2007-07-19 09:45
好久没来了~~~ 后来我测试发现放出的这个版本BUG还是很多的,比如它竟然bypass不了BlackLight,后来给修正了,所以说它bypass不了一些ANTI也是正常的~
其次本人再重申一遍:本人没有抄袭任何人的源代码,所以什么“与XXX的代码相同”简直就不可能~大家仔细看过再发表言论好不好? |
|
|
5楼#
发布于:2007-07-13 23:25
嘿嘿,,顺便说下,,,原帖地址在 RCT 里
|
|
|
6楼#
发布于:2007-07-13 21:05
|
|
|
7楼#
发布于:2007-07-02 14:22
|
|
|
8楼#
发布于:2007-06-01 13:53
引用第11楼uuuty于2007-05-24 23:07发表的 : i/o也是可以搞的,用drx断点貌似就可以啦~ |
|
|
|
9楼#
发布于:2007-06-01 13:49
引用第17楼WQXNETQIQI于2007-05-30 17:56发表的 : FSD自己调用iofCXXX的说,不是AntiRootkit的检查工具调用的,所以基本上还是有效的,目前 对付card的方法就是检查iofCXXX的hook,然后恢复之~ 我没用ida看,只是根据效果猜测对付磁盘的部分是对READ的irp做处理的吧~ 没测试scsi pass的irp来读磁盘列文件的Checker~~ |
|
|
|
10楼#
发布于:2007-06-01 13:33
采用这种方法是由于刚开始要过is, is不许你用FSFD, FSD HOOK, IofCallDriver HOOK...想来想去就自然想到这个方法了(其实也不难想到), 所以我根本没有抄袭card的想法, 后来才看到他那个帖子的.关于code ,有必要放么?
|
|
|
11楼#
发布于:2007-05-30 17:56
前段时间看到一个IofCompleteRequest的实现代码~Card的方法无效了
 |
|
|
|
12楼#
发布于:2007-05-30 11:34
我也是这么想,他这玩意基本上是照着card搞得~
|
|
|
|
13楼#
发布于:2007-05-30 10:36
好歹还是该给点核心代码噻。
这样做太不厚道了嘛。。。。 |
|
|
14楼#
发布于:2007-05-28 18:00
呵呵,anti有意思,,,
学习  |
|
|
15楼#
发布于:2007-05-28 17:03
路过。。。
|
|
|
|
16楼#
发布于:2007-05-25 10:31
引用第11楼uuuty于2007-05-24 23:07发表的 : 就算IDE支持SATA不? 不会只是读读1f*/17*端口吧,我这都没这样的老机器了。 |
|
|
17楼#
发布于:2007-05-24 23:07
嘿嘿 我还有个读io 端口的,不过目前只能用在ide硬盘上,就不拿出来了,希望能讨论下怎样过读io 端口的
|
|
|
18楼#
发布于:2007-05-24 22:37
uty, 现在我已经绕过了你的FileExposure了....
|
|
|
19楼#
发布于:2007-05-24 19:34
LZ也没有看短消息的习惯么
 |
|
上一页
下一页