|
[原创]不开心
说实话楼主这IDB逆的水平也是不咋的 |
|
[分享]ExAllocatePool与常见kernel peload的问题
没必要, X64下只有paged pool才是不可执行的,nonpaged pool一定可以执行。 到了WIN8则是xxxxPoolNx不可执行,当然你自己主动搞NonPagedPool一定可以执行~ |
|
[分享]用ObRegisterCallbacks实现进程防杀
操作系统的构架和原理都是当年那几个OS牛人定的,什么线程调度、进程间通讯等等,所以你看现代操作系统的原理和构架都是非常类似的。 MS不可能也没有任何必要重新发明轮子。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
我跟你们不在一个时区,哈哈 现在太阳不错 |
|
[分享]用ObRegisterCallbacks实现进程防杀
其实这点我前面引用的alex也说到了:“Fixes so many of the obvious holes in downlevel” 所以win8 pg还不少让人郁闷的地方,比如win32k.sys不能inline hook了,这个可完全没有标准接口可以,你做啥保护用一个模拟鼠标就关闭了。。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
第一个不是我说的,我压根就没说过你改driver section会蓝屏,我一直就只说了改object type的问题 ,前面cvcvxk误解了这点,我还专门解释了,仔细看前面的帖子。 support callbacks当然在win7不蓝屏了,要不SANDBOXIE就不会用了,这点我在前面也说过了,也就说你这些总结都是我前面已经说过的 |
|
[分享]用ObRegisterCallbacks实现进程防杀
另外,PG比VMP纠结多了, 逆向大神Alex Ionescu的原话: “ I love the new #Windows 8 Patch Guard. Fixes so many of the obvious holes in downlevel, and the new hyper-inlined obfuscation makes me cry.” 自己去看看那些obfuscation 代码,再来说什么纠结不纠结,VT不VT吧,别光嘴上说。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
唉,你和楼上那个都是一点都不知道自己去看看,就在这里胡扯的。 根本就不是什么偏移错误 打不开进程用标准的OB就可以,根本不用改object type 我还是帮你们查出来资料,你自己看吧: Directly editing OBJECT_TYPE structures is unsupported. This structure is an internal operating system construct that is subject to change and should not be directly accessed or modified by drivers. 修改后就触发bug check 0x109 CRITICAL_STRUCTURE_CORRUPTION 跟偏移错误一点关系都没有,自己调查清楚再回来发帖,别再浪费口舌了。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
很明显不是错误的偏移,关于是不是检测了object type,关于WIN8 PG的混淆代码又多么可怕,你看了WIN8 PG的检测代码就知道了,别什么事都瞎猜。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
你自己试试就知道了, sandboxie X64用的就是改object type,win8上就会BSOD |
|
[分享]用ObRegisterCallbacks实现进程防杀
我回的是cvcvxk的帖子,说的是改support callbacks,小伙子别毛糙,仔细看完贴再回。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
自己看过再说吧,想得太天真了,support callback是必须一直改了你的注册才能生效的。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
别VT了,看到WIN8 X64 PG里用的VT混淆代码我就吐了。 |
|
[分享]用ObRegisterCallbacks实现进程防杀
你这方法改一下 WIN8 X64直接BSOD~ |
|
[分享]用ObRegisterCallbacks实现进程防杀
自己没试过就不要乱说吧,PG对动态的SSDT Table/GDT/IDT都有检查的 动态的,到了WIN8 X64上,object hook也有检查,改了之后过段时间就会BSOD,WIN7我记得object hook也会BSOD 到了WIN8上,你连 object type的support callbacks(可以制造更多的ob callbacks的一个技巧)都会被PG发现,从而BSOD |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值