总引篇::
rT
决定写这篇可以教坏小孩子的文章的原因是rootkit实在写的郁闷了,出来散散心。 c%
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 2(
进程篇:: Xm`MPb
实话说,我觉得你都drv了,还他妈什么进程,干脆都ring0不好吗?对于icesword不使用从可爱的swap链上找 _
人我表示感谢,但是不代表其他anti不会,单说icesword(以下称is)用PspCidHandleTable搞寻人启事,于是 P<+
有很多方法可以dead line it~,不过话说回来,如果单纯对付is,我们可以采用in line hook掉ExEnumHandleTable u(`
的方法来——嘿嘿具体如何对付is的暴力重载函数,各位就等文件篇一起说吧~ EPV
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 s8.0
注册表篇:: Ef3@hE
我个人觉得一个驱动或者一个程序,你非要隐藏其注册表项,对于is这样的分析你的注册表导出的家伙,你大 q
可以控制导出,采用hook来控制一切针对注册表的关键项读取,具体如何很多例子已经说明了道理——不过关 &/As%
键还是暴力重载函数,哈哈~~ |$ T
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 M`
文件篇:: ~kR
is暴力重载ntfs,fastfat的关键irp_routine,所以方法就是让他不能暴力重载!!我们通过分析is没有重载过 1
的与文件紧密挂钩的函数就是IoCreateFile,我们in line hook这个函数,做文件重定向——呵呵,聪明的人已 =
经明白了,我就是这样投机取巧——重定向到的文件自然就是我们的drv patch过的内存dump文件——为什么要用dump? CE
因为我们可以每次启动都patch的动态阿,而且不用管WFP的干活~ k}{3yr
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 2BYi
于是is就变成帮凶(帮助我们恢复被xxxx等变态工具干掉的hook),具体如何实现各位就不要逼问了,因为我 L=aed
实在不能多说了~不过如果pjf采用和XXXX工具一样变态的pio的方法读写扇区,我就江郎才尽~ A
决定写这篇可以教坏小孩子的文章的原因是rootkit实在写的郁闷了,出来散散心。 c%
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 2(
进程篇:: Xm`MPb
实话说,我觉得你都drv了,还他妈什么进程,干脆都ring0不好吗?对于icesword不使用从可爱的swap链上找 _
人我表示感谢,但是不代表其他anti不会,单说icesword(以下称is)用PspCidHandleTable搞寻人启事,于是 P<+
有很多方法可以dead line it~,不过话说回来,如果单纯对付is,我们可以采用in line hook掉ExEnumHandleTable u(`
的方法来——嘿嘿具体如何对付is的暴力重载函数,各位就等文件篇一起说吧~ EPV
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 s8.0
注册表篇:: Ef3@hE
我个人觉得一个驱动或者一个程序,你非要隐藏其注册表项,对于is这样的分析你的注册表导出的家伙,你大 q
可以控制导出,采用hook来控制一切针对注册表的关键项读取,具体如何很多例子已经说明了道理——不过关 &/As%
键还是暴力重载函数,哈哈~~ |$ T
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 M`
文件篇:: ~kR
is暴力重载ntfs,fastfat的关键irp_routine,所以方法就是让他不能暴力重载!!我们通过分析is没有重载过 1
的与文件紧密挂钩的函数就是IoCreateFile,我们in line hook这个函数,做文件重定向——呵呵,聪明的人已 =
经明白了,我就是这样投机取巧——重定向到的文件自然就是我们的drv patch过的内存dump文件——为什么要用dump? CE
因为我们可以每次启动都patch的动态阿,而且不用管WFP的干活~ k}{3yr
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 2BYi
于是is就变成帮凶(帮助我们恢复被xxxx等变态工具干掉的hook),具体如何实现各位就不要逼问了,因为我 L=aed
实在不能多说了~不过如果pjf采用和XXXX工具一样变态的pio的方法读写扇区,我就江郎才尽~ A
64
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
