ARK
关注
分享
扫一扫
kernweak
日子越来越有判头了
展开
-
ark笔记
ark相关技术是关于进程检测,杀进程,线程检测,杀线程,怎么检测模块,隐藏dll等。还有驱动模块怎么检测,怎么卸载别人的驱动。SSDT,shadowSSDT,FSD相关。进程进程枚举R3枚举进程CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS)/Process32First/Process32Next,建一个快照,然后去遍历ZwQueryS...原创 2019-07-03 01:36:47 · 4155 阅读 · 0 评论 -
A盾学习笔记(1)
功能模块枚举Hook()PE与内核重载内核模块(驱动)内核信息(线程,DPC定时器,系统回调)过滤驱动DISPATCH例程系统进程系统服务网络连接(TCP/UDP端口与IP)删文件(强删文件思路,正在运行中的程序,sectionObject里面的值清0,构造个IRP下发,独占的就去全局句柄表拷贝句柄,然后关掉,对于硬链接(不夸磁盘盘符的,通过引用计数,软连接...原创 2019-07-06 02:42:06 · 488 阅读 · 0 评论 -
A盾学习笔记(2)反inlinehook
下面学习下反inlinehook在工程的AntilineHook.c里总体思路就是找到jmp指令,判断是不是被inlinehook的跳转,然后自己重载了内核之后,把原来被感染inlinehook跳过去执行的函数的地址位置,再hook成我们重载正常的的函数地址,实现反inlinehook,我还以为要把污染的hook拷贝成正常code。VOID AntiInlineHook(WCHAR ...原创 2019-07-06 03:18:25 · 489 阅读 · 0 评论