|
[分享]用ObRegisterCallbacks实现进程防杀
至于inline,ssdt的hook。。。。。还是洗洗睡了吧 |
|
[分享]用ObRegisterCallbacks实现进程防杀
一般原则当然是有标准做法就用标准做法 不过,比如注册表监控,cm回调没法完全搞定。。。。这种非用object hook不可 本来我是向来不建议使用hook的。。。但是没办法的情况下,也可以一用。。。object hook在兼容性上要优于其他任何类型hook |
|
[分享]用ObRegisterCallbacks实现进程防杀
貌似你没搞明白patch guard的基本原理 人家pg只能对死的代码进行检查 object header是系统启动时动态填充的。。。焉有检查的道理? |
|
[分享]用ObRegisterCallbacks实现进程防杀
看了下代码 那个写得有问题 // 去除掉杀进程的权限 OperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess ^= PROCESS_TERMINATE; 这个求异或的话,会把除PROCESS_TERMINATE外的其他所有权限都给加上了。。。。明显不该这样 应该是仅仅去掉PROCESS_TERMINATE而已,正确做法该是: OperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess &= (~PROCESS_TERMINATE); |
|
[分享]用ObRegisterCallbacks实现进程防杀
这个 注册回调前加段代码,改一个比特位就解决了 PLDR_DATA_TABLE_ENTRY pLdrEntry=(PLDR_DATA_TABLE_ENTRY)pDrvObj->DriverSection; pLdrEntry->Flags |=0x20; |
|
[分享]用ObRegisterCallbacks实现进程防杀
object hook的话64位还不是照用不误 |
|
[分享]用ObRegisterCallbacks实现进程防杀
实际上,随便什么HIPS之流的。。。没了先入为主的优势,监视垃圾一堆 这些各种保护,都必须有个前提,那就是你得先入为主,你先把防御搭起来。。然后等着别人来攻击。没了这个前提,你再怎么防都没用。 防御的和攻击的,都在内核的话。。。这次可能你防御的手段高明些而已,人家没攻破,但是真的想搞,dbg一下,看下你防守的原理,针对性处理一下。。。马上就能搞定。。然后双方这么死循环下去 |
|
[分享]用ObRegisterCallbacks实现进程防杀
win32下你能改这个结构体么。。。。要是内核的话。。。都进内核了,没什么是不可以的。。。。某人的这句话还是很正确的 |
|
|
|
[讨论]有奖互动:《网络分析技术揭秘》作者做客看雪论坛,交流网络安全相关技术
Winpcap那个不叫过滤。。。。准确说是旁听,协议驱动是没法过滤别人的包的,只可以旁听。其实要说研究,不值得在winpcap这类东西上花太多时间,没意义。 这东西本身没任何技术含量和新意, 与其在这上面花时间,不如自己多看看NDIS架构的细节问题,所有本贴中提出问题的那些人的问题,只要对ndis架构熟悉了,这些都不是什么问题 |
|
[分享]FileFilter文件保护
驱动层的破坏,根本没有考虑的价值。。。。。借用某人一句话。。。。都进内核了,还有什么不可以做的 |
|
[分享]FileFilter文件保护
驱动层的破坏,根本呢可以不用考虑 |
|
求教编写磁盘驱动写保护,磁盘过滤层WriteFile返回STATUS_MEDIA_WRITE_PROTECTED无效
磁盘层做只读不是不可以, 但是你首先得查询出诸如D盘是从该磁盘的哪个扇区到哪个扇区, 之后有写请求时, 在这个范围内的,一律放过,否则拦截。 操纵系统所在分区的扇区范围,绝对不可以写失败 |
|
[原创]TDI防火墙示例 [开源]
[QUOTE=HueHue;1078938][简介] 两年前的今天,俺的高考结束了。发个TDI防火墙工具源码,算是纪念俺逝去的高中生活。 近段时间在学如何在TDI层实现网络防火墙的功能,零零碎碎的资料看了很多,空闲时间写了个小工具TDIMon,代码由tdifw拓展而来。实现了防火墙最最基本的一些功能,包括显示连接信息,屏蔽端口...[/QUOTE] 寒江独钓里的例子代码 用了别人的东西,至少给个说明吧。。。搞得好像你自己原创似的(不要说你没说是你的原创)。。。。不厚道 |
|
|
|
代发[招聘]成都、厦门招聘Windows系统、Linux系统安全开发人员
工作地点成都厦门可选 |
|
|
|
[招聘]金山网络招反病毒技术研究员(珠海)(2012-12-13跟新)
呵呵。。。虽不完全认同。。。。但对里面某些人的人品严重鄙视 |
|
[分享]秒杀360和QQ管家(等)的驱动代码
哈哈……老兄,这段时间折腾管家……比毒霸感觉咋样? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值