首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>再谈绕过IceSword 1.22文件检测
回复
« 返回列表
z.b.Azy
z.b.Azy
驱动牛犊
驱动牛犊
  • 注册日期2006-03-11
  • 最后登录2013-04-29
  • 粉丝0
  • 关注0
  • 积分263分
  • 威望95点
  • 贡献值0点
  • 好评度91点
  • 原创分2分
  • 专家分0分
写私信
阅读:3212回复:19

再谈绕过IceSword 1.22文件检测

楼主#
更多 发布于:2007-07-27 19:21
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~

如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =)
喜欢1

最新喜欢:

haifengjlhaifen...
回复
violin
violin
驱动牛犊
驱动牛犊
  • 注册日期2003-10-02
  • 最后登录2009-08-22
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望83点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-07-27 19:34
引用第0楼z.b.Azy于2007-07-27 19:21发表的 再谈绕过IceSword 1.22文件检测 :
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~

如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =)


一般不需要知道谁hook,恢复hook就行了。
这类hook感觉意义不大,它就像一个"我是流氓"的标签一样,有谁搞点有创意的~~~
回复(0) 喜欢(0)
z.b.Azy
z.b.Azy
驱动牛犊
驱动牛犊
  • 注册日期2006-03-11
  • 最后登录2013-04-29
  • 粉丝0
  • 关注0
  • 积分263分
  • 威望95点
  • 贡献值0点
  • 好评度91点
  • 原创分2分
  • 专家分0分
写私信
板凳#
发布于:2007-07-27 19:48
引用第1楼violin于2007-07-27 19:34发表的  :


一般不需要知道谁hook,恢复hook就行了。
这类hook感觉意义不大,它就像一个"我是流氓"的标签一样,有谁搞点有创意的~~~

只是一种可行的方法, 期待大牛们的创意~~~
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
地板#
发布于:2007-07-27 22:15
int 0e大法试试
驱动开发者 呵呵
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
地下室#
发布于:2007-07-30 12:34
引用第3楼WQXNETQIQI于2007-07-27 22:15发表的  :
int 0e大法试试

稳定性不能保证。。。。。。
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
5楼#
发布于:2007-07-30 20:57
绕过方法很多最好在系统处理irp的必经之路上下手~
   
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
6楼#
发布于:2007-07-30 23:13
HOOK是毒瘤。。。。。。
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
z.b.Azy
z.b.Azy
驱动牛犊
驱动牛犊
  • 注册日期2006-03-11
  • 最后登录2013-04-29
  • 粉丝0
  • 关注0
  • 积分263分
  • 威望95点
  • 贡献值0点
  • 好评度91点
  • 原创分2分
  • 专家分0分
写私信
7楼#
发布于:2007-07-31 13:09
引用第6楼wowocock于2007-07-30 23:13发表的  :
HOOK是毒瘤。。。。。。

此言极是。。。如果继续下去路只会越来越窄。。。。
回复(0) 喜欢(0)
vardyh
vardyh
驱动牛犊
驱动牛犊
  • 注册日期2007-07-31
  • 最后登录2007-10-19
  • 粉丝0
  • 关注0
  • 积分30分
  • 威望4点
  • 贡献值0点
  • 好评度3点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2007-07-31 22:26
引用第7楼z.b.Azy于2007-07-31 13:09发表的  :

此言极是。。。如果继续下去路只会越来越窄。。。。


那要看你是如何 hook 的,
像 icesword 之流的东西,上来就不管不顾的把钩子乱恢复一通,(起码早期的版本是这样,新版的我没兴趣分析了),这样的恢复是非常不安全的,
且不说有些安全软件的钩子是不是会被你恢复掉,如果一个钩子比较恶心,上来改个10来个字节,你就恢复5、6个字节的指令,我看你不蓝屏一个给我看看,
http://blog.sina.com.cn/vardyh
回复(0) 喜欢(0)
kernel_kernel
kernel_kernel
驱动小牛
驱动小牛
  • 注册日期2002-12-08
  • 最后登录2009-02-06
  • 粉丝0
  • 关注0
  • 积分435分
  • 威望51点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2007-07-31 23:21
引用第8楼vardyh于2007-07-31 22:26发表的  :


那要看你是如何 hook 的,
像 icesword 之流的东西,上来就不管不顾的把钩子乱恢复一通,(起码早期的版本是这样,新版的我没兴趣分析了),这样的恢复是非常不安全的,
且不说有些安全软件的钩子是不是会被你恢复掉,如果一个钩子比较恶心,上来改个10来个字节,你就恢复5、6个字节的指令,我看你不蓝屏一个给我看看,


有点信口开河的意思,我试过了,恢复可不只几字节,我改了不少。
回复(0) 喜欢(0)
vardyh
vardyh
驱动牛犊
驱动牛犊
  • 注册日期2007-07-31
  • 最后登录2007-10-19
  • 粉丝0
  • 关注0
  • 积分30分
  • 威望4点
  • 贡献值0点
  • 好评度3点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2007-07-31 23:26
变态的hook可以把整个函数抹掉,还是那句话,看你如何hook了,呵呵
http://blog.sina.com.cn/vardyh
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
11楼#
发布于:2007-08-01 00:32
drx大法依然有效
驱动开发者 呵呵
回复(0) 喜欢(0)
kernel_kernel
kernel_kernel
驱动小牛
驱动小牛
  • 注册日期2002-12-08
  • 最后登录2009-02-06
  • 粉丝0
  • 关注0
  • 积分435分
  • 威望51点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2007-08-01 07:54
引用第10楼vardyh于2007-07-31 23:26发表的  :
变态的hook可以把整个函数抹掉,还是那句话,看你如何hook了,呵呵


这个...可是别人也可以scan后整个恢复。做流氓软件一般没问题,想做点隐蔽性好的东西
这一套hook很难有作为了。还是老v的流氓固化听上去不错.
回复(0) 喜欢(0)
kernel_kernel
kernel_kernel
驱动小牛
驱动小牛
  • 注册日期2002-12-08
  • 最后登录2009-02-06
  • 粉丝0
  • 关注0
  • 积分435分
  • 威望51点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
13楼#
发布于:2007-08-01 07:55
引用第11楼WQXNETQIQI于2007-08-01 00:32发表的  :
drx大法依然有效


试过?赶明儿试试
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
14楼#
发布于:2007-08-01 17:54
int 0e大法依然有效~
而且非常有效~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
vanmin
vanmin
驱动牛犊
驱动牛犊
  • 注册日期2006-04-20
  • 最后登录2009-03-31
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望33点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
15楼#
发布于:2007-08-03 22:16
引用第0楼z.b.Azy于2007-07-27 19:21发表的 再谈绕过IceSword 1.22文件检测 :
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~

如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =)

好巧,我也在做这个嘿嘿.
会有大用场呵呵.
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
16楼#
发布于:2007-08-07 20:32
引用第12楼kernel_kernel于2007-08-01 07:54发表的  :


这个...可是别人也可以scan后整个恢复。做流氓软件一般没问题,想做点隐蔽性好的东西
这一套hook很难有作为了。还是老v的流氓固化听上去不错.



固化其实就是文件感染换了新名字而已~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
ljh1021
ljh1021
驱动小牛
驱动小牛
  • 注册日期2007-05-30
  • 最后登录2010-05-18
  • 粉丝0
  • 关注0
  • 积分936分
  • 威望126点
  • 贡献值0点
  • 好评度92点
  • 原创分0分
  • 专家分0分
写私信
17楼#
发布于:2007-09-02 13:51
IofCom???是IofCompleteRequest,KeRaise???是KeRaiseIrqlToDpcLevel吗?
我不明白Azy大虾为什么要这样HOOK,能详细说说原因吗?难道还跟中断级别有关?
我是菜鸟,不知道是int 0e大法和drx大法是什么,能解释一下吗?
谢谢!
消灭人类暴政,世界属于三体!
回复(0) 喜欢(0)
ljh1021
ljh1021
驱动小牛
驱动小牛
  • 注册日期2007-05-30
  • 最后登录2010-05-18
  • 粉丝0
  • 关注0
  • 积分936分
  • 威望126点
  • 贡献值0点
  • 好评度92点
  • 原创分0分
  • 专家分0分
写私信
18楼#
发布于:2007-09-02 13:59
引用第9楼kernel_kernel于2007-07-31 23:21发表的  :


有点信口开河的意思,我试过了,恢复可不只几字节,我改了不少。


我改了不少???
听这句话,难道kernel_kernel是pjf的马甲?!
消灭人类暴政,世界属于三体!
回复(0) 喜欢(0)
kernel_kernel
kernel_kernel
驱动小牛
驱动小牛
  • 注册日期2002-12-08
  • 最后登录2009-02-06
  • 粉丝0
  • 关注0
  • 积分435分
  • 威望51点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
19楼#
发布于:2007-09-02 16:25
引用第18楼ljh1021于2007-09-02 13:59发表的  :


我改了不少???
听这句话,难道kernel_kernel是pjf的马甲?!


        "我把入口改了不少",是我做的hook试验,把函数入口改了十几个字节,结果是icesword又把它改回去了,所以我的结论是它不只恢复5字节。是我语文没学好还是哥们太有想象力?
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部