|
阅读:5154回复:10
Rootkit一书有感
<<Rootkits.Subverting.the.Windows.Kernel>>
从书名上看以为就是黑客之类的技术,下载了好久也没看一眼。偶然在China-pub 上看到有人评论,才看两眼,发现这本书的确不错。 从内容上看,本书其实就是虚拟驱动编程。如果一开始的Hello demo: #include "ntddk.h" NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )' { DbgPrint("Hello World!"); return STATUS_SUCCESS; } 短短几行,就构成了一个简单的驱动程序,然后是编译: 写SOURCE: TARGETNAME=MYDRIVER TARGETPATH=OBJ TARGETTYPE=DRIVER SOURCES=Hello.c 写MAKEFILE: !INCLUDE $(NTMAKEENV)\makefile.def 再下一步进行DDK的命令行,进入程序目录,nmake,一切OK。 又提供了一下测试工具: www.rootkit.com/vault/hoglund/InstDvr.zip. 很方便地调入驱动文件进行测试(最好在虚拟机上运行) 驱动方面的书也看过不少,如此轻松入门的还真没有比这本书更好的。看来作者也是把驱动玩的了如指掌 |
|
|
沙发#
发布于:2007-09-27 12:02
今天照着书实现了注册表隐藏,明天开始做进程隐藏,后天研究文件隐藏
|
|
|
板凳#
发布于:2007-09-29 10:16
用最老的技术实现最先进的产品
WDM是几年前的老技术,但vista下的驱动够新了吧,怎么现在还没几个人去做呢 |
|
|
地板#
发布于:2007-11-05 15:49
majiajue,那你TMD就是xx xx CNMD
哈哈,大SB,老技术你掌握多少了?有本事你超过我再来说 |
|