驱动小牛
|
阅读:9812回复:59
针锋相对360,瑞星也有保险箱!
瑞星全功能体验版最大的技术亮点之一,就是全新打造的“账号保险柜”功能,这是主动防御技术延展出来的全新技术应用模式,用户只需将网游、网银、聊天、股票等软件放到“账号保险柜”中,就可以放心使用,瑞星会有效阻止盗号木马的攻击和盗取。
http://it.rising.com.cn/Channels/Info/Rav_news/Rav_news/2007-09-03/1188790541d43859.shtml 大家都看看吧. |
最新喜欢:cyliu
|
|
沙发#
发布于:2007-11-02 11:18
说的跟个事一样,还不是谁能加载的问题。
|
|
|
驱动中牛
|
板凳#
发布于:2007-11-02 09:11
引用第11楼yangtengfei于2007-09-08 11:30发表的 : 高手耶,俺一点不懂,一点概念都不懂,那位高手给指条大道,初学者该看什么书和资料 |
在说瑞星差之前,为什么自己的 360 做好....|
地板#
发布于:2007-11-02 08:59
引用第51楼guaiguaiguan于2007-09-14 08:30发表的 : 到底是也不是~~~~~ |
|
|
地下室#
发布于:2007-09-26 22:06
还是觉得开源linux在内核驱动中实用的多多,,,
window 下xx,av,,流氓,,真是疯狂了,,anti 也更这狂,, 路过 |
|
|
5楼#
发布于:2007-09-26 21:58
 天下乱了。。doskey跑到360那里去了,, 还是忙自个去喽。。。 |
|
|
6楼#
发布于:2007-09-18 16:51
楼上的方法也挺好使,实现方法(略)
|
|
|
7楼#
发布于:2007-09-14 13:04
唉~
天地有正气~~~ 不知道又有啥玩意要出来了~ |
|
|
|
8楼#
发布于:2007-09-14 08:46
引用第45楼killvxk于2007-09-13 19:43发表的 : newkiSystem proc ... cmp eax,001 jnz igore mov eax , 0x5001 igore: jmp oldkiSystem endp sdt工具,在真正的hook之前,首当其冲都会对ssdt进行重置,包括指针函数入口的5个字节指令,全部使用ntk*.exe最初值进行恢复,以达到独占、排他的目的。如果这种挂接在后,就很有可能把未用的ssdt入口项全部置零,如果操作系统没有对这些无效地址进行检查,系统就等着崩溃吧。责任追究起来,至少是各打五十大板。 另外一般hook为了不影响原有的功能,都会间接调用call oldssdtserviceentry。这种方法将使对旧函数的地址调用变得更加烦琐。 明白了,这种方法的确可以达到隐藏的目的。很巧妙,楼上各位,只能高山仰止了! |
|
|
9楼#
发布于:2007-09-14 08:30
引用第50楼wangjianfeng于2007-09-14 08:25发表的 : 故事里的事说是就是不是也是 , 故事里的事说不是就不是是也不是 |
|
|
驱动小牛
|
10楼#
发布于:2007-09-14 08:25
guaiguaiguan 是不是作超级巡警或那个狙剑的?
|
|
11楼#
发布于:2007-09-13 21:45
0x3000-0x3FFF估计也有用处~
|
|
|
|
12楼#
发布于:2007-09-13 20:09
那就用0x3000-0x3FFF嘛,目前好像还没用占用 我一直在用,“价格实惠,量又足” 对付现在的通过ssdt hook进行检测的足够了  |
|
|
13楼#
发布于:2007-09-13 19:53
也可以学习老版本的带有邪恶驱动的某壳,把自己要用的调用原始ssdt描述copy到空位(空位动态定位的~~)然后inline hook KiXXX过滤并修改eax——最邪恶的是那家伙在线程上做了手脚,他加壳的线程的win32Table指向不是标准的shadowTable(嘿嘿)
多说无意~~ 改bug去了 |
|
|
|
14楼#
发布于:2007-09-13 19:48
0x2000 --- 0x2FFF
iis6有些玩意在上面要小心使用copy大法~ |
|
|
|
15楼#
发布于:2007-09-13 19:43
引用第43楼wangjianfeng于2007-09-13 16:54发表的 : 其实可以把调用copy到一个空的ssdt位置,填入参数描述等,然后在newkixxxx中替换eax的内容,然后继续xxx 可以想象当kav等xxx们hook了ssdt结果发现调用不走他们做了hook的ssdt~~ |
|
|
|
16楼#
发布于:2007-09-13 17:01
引用第42楼WQXNETQIQI于2007-09-13 16:49发表的 : 谢谢, |
|
|
驱动小牛
|
17楼#
发布于:2007-09-13 16:54
主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html 似乎和wrk中的代码一样...
我也期待: 学艺不精,killvxk有空给介绍一下: hook kexxx 防dll全局hook插入 hook kisystemservice 来过滤ntgdi/ntuser系列函数比hook shadowTable的函数方便~ 是怎么回事,没弄明白。 还有360safebox中的INLINE hook KiFastCallEntry隐藏ssdt 是怎么回事,没看明白? 可往往大牛们总是一句带过. |
|
18楼#
发布于:2007-09-13 16:49
KeUserModeCallBack,装了360safebox,拿gmer之流扫扫,不就有了,,楼上勿要太懒。。。。
KiSYtexxx的处理看2K代码就全知道了 之前测试的结果,PspTerminateThreadByPointer的HOOK保护进程会对进程本身有不少不稳定的影响~ |
|
|
|
19楼#
发布于:2007-09-13 16:11
PspTerminateThreadByPointer在xp下hook终于搞定了,主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html。这个函数只有两个参数。剩下的事情就比较简单了。
学艺不精,killvxk有空给介绍一下: hook kexxx 防dll全局hook插入 hook kisystemservice 来过滤ntgdi/ntuser系列函数比hook shadowTable的函数方便~ 是怎么回事,没弄明白。 还有360safebox中的INLINE hook KiFastCallEntry隐藏ssdt 是怎么回事,没看明白? 从网上得到这样一个信息: KiSystemService()通过检查EAX中索引值的第12和13位来确认是不是应该由Win32K.sys处理API调用。如果这两个位都是0,则是由ntoskrnl.exe处理的Native API调用,因此KiSystemService()使用第一个SDT。如果第12位为1并且第13位为0,KiSystemService()使用第二个SDT,这个SDT并没有被当前系统使用。这意味着Native API调用的索引值的潜在范围是:0x0000 --- 0x0FFFF,Win32K.sys调用使用的索引范围是:0x1000 --- 0x1FFF。因此,0x2000 --- 0x2FFF和0x3000 --- 0x3FFF保留给剩下的两个SDT。在Windows 2000中,Native API服务表包含248个项,Win32K.sys表包含639个项。如果这样的hook KiSystemService就像一个中断处理流程替换另外现有的中断处理流程,所有的参数都是通过寄存器来传递。往下追下去,也许会找到写苗头。 hook kexxx 防dll全局hook插入呢? kexxx 怎么拼写? |
|
上一页
下一页