老裴

我想和这个世界谈谈

绕过杀毒软件之一(实时监控篇)续

上次说的绕过杀毒软件之一(实时监控篇)中,提供了解决方法这是对应代码:(至于如何清理具体驱动的NotfiyRoutine,就是找到驱动所加载的地址,用PsLoadedModuleList或ZwQuerySystemInformation,然后判断PspLoadImageNotifyRoutine中...

2007-06-21 14:15:00

阅读数:1567

评论数:0

绕过杀毒软件之一(实时监控篇)

杀毒软件的实时监控分为两个部分  一:Notify部分  二:Attach到文件系统部分一:Notify对与杀毒软件致关重要(有些流氓软件也用的),主要用到的是   PsSetLoadImageNotifyRoutine和   PsSetCreateProcessNotifyRoutine这两个函...

2007-06-21 14:11:00

阅读数:3841

评论数:0

Code Inject的新技术

inject的一般方法是:CreateRemoteThread;今天在Rootkit上看到一个新的方法,让我想起1年前我看到过的类似方法,大家一起看看这种方法吧:1) 1年前我所看到的方法    DWORD  dwResult;    HANDLE hThread;    HANDLE hProc...

2007-06-21 13:59:00

阅读数:1305

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭