首页
社区
课程
招聘
[分享]StealthCodeScan,放一个检查隐藏驱动的工具,效果可能比其他ark好
发表于: 2011-10-3 18:45 6116

[分享]StealthCodeScan,放一个检查隐藏驱动的工具,效果可能比其他ark好

2011-10-3 18:45
6116


学rku那招~~~驱动无壳无花~~

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 249
活跃值: (71)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
2
楼主应该放源码
2011-10-3 19:49
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
DriverObject->DriverUnload = (PDRIVER_UNLOAD)DriverUnload;
  pfnExAllocPool = (void *)GetFuncAddress(L"ExAllocatePool");
  pfnExAllocPoolWithTag = (void *)GetFuncAddress(L"ExAllocatePoolWithTag");
  pfnKeDelayExecutionThread = (void *)GetFuncAddress(L"KeDelayExecutionThread");
  pfnmemcpy = (void *)GetFuncAddress(L"memcpy");



这个也很容易绕过,而且ExAllocPool这个还有先后问题。。。
memcpy完全没有必要吧,这个一般不都直接inline了么~
2011-10-3 22:33
0
雪    币: 165
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
支持,即使应用层下很多crt函数都自己实现或者A一遍了。
2011-10-3 22:58
0
雪    币: 27
活跃值: (127)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
5
我看还是放源码好
2011-10-3 23:55
0
雪    币: 247
活跃值: (32)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
呵呵,我也是从rku里A出来的。
2011-10-4 00:32
0
游客
登录 | 注册 方可回帖
返回
//