只谈思想-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 2 楼一上来就有这样的好文章，学习了~~ 2011-4-6 16:03 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 3 楼只知道鬼影中会自动开启服务加载驱动，没真正去分析。。。。lz 膜拜。。。 2011-4-6 16:47 0
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 4 楼学习了，在过滤驱动的时候，是否有更加有效的检测方式呢 2011-4-6 17:06 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 5 楼只要AntiVirus.sys驱动在atixx.sys之前加载起来，那atixx.sys就不可能加载起来了。至于AntiVirus.sys如何尽可能早的启动，则只是策略的问题了，比如:boot类型，预先防御…… 2011-4-6 17:11 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼好好学习, 十分感谢. 2011-4-6 17:17 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 7 楼更有效的应该是策略问题；源码提供的是检测点（HOOK点），至于在这个检测点上，如何检测，那完全取决于你的想象力。DEMO中，只是以提取特征码为方法来拦截，属于事后策略。 2011-4-6 17:18 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 8 楼 Good！小鸟mark下！ 2011-4-6 18:21 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 9 楼好文章。学习了。做个记号 2011-4-7 11:08 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 10 楼明白了, 思想就是钩住入口.然后检测合法性. 看情况返回失败. 理论上只有利用软件本身的漏洞才能加载驱动了. 添加白名单, 利用云服务器. 2011-4-7 11:52 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 11 楼恩，是的，可以采用多种策略，综合分析。 2011-4-7 15:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 2 楼一上来就有这样的好文章，学习了~~ 2011-4-6 16:03 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 3 楼只知道鬼影中会自动开启服务加载驱动，没真正去分析。。。。lz 膜拜。。。 2011-4-6 16:47 0
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 4 楼学习了，在过滤驱动的时候，是否有更加有效的检测方式呢 2011-4-6 17:06 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 5 楼只要AntiVirus.sys驱动在atixx.sys之前加载起来，那atixx.sys就不可能加载起来了。至于AntiVirus.sys如何尽可能早的启动，则只是策略的问题了，比如:boot类型，预先防御…… 2011-4-6 17:11 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼好好学习, 十分感谢. 2011-4-6 17:17 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 7 楼更有效的应该是策略问题；源码提供的是检测点（HOOK点），至于在这个检测点上，如何检测，那完全取决于你的想象力。DEMO中，只是以提取特征码为方法来拦截，属于事后策略。 2011-4-6 17:18 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 8 楼 Good！小鸟mark下！ 2011-4-6 18:21 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 9 楼好文章。学习了。做个记号 2011-4-7 11:08 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 10 楼明白了, 思想就是钩住入口.然后检测合法性. 看情况返回失败. 理论上只有利用软件本身的漏洞才能加载驱动了. 添加白名单, 利用云服务器. 2011-4-7 11:52 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 11 楼恩，是的，可以采用多种策略，综合分析。 2011-4-7 15:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复