能力值:
( LV8,RANK:120 )
|
-
-
2 楼
楼主火星了。。
|
能力值:
( LV13,RANK:290 )
|
-
-
3 楼
没怎么在论坛里混,最近打算自己研究些东西,就当是笔记,,呵呵
|
能力值:
( LV4,RANK:40 )
|
-
-
4 楼
360的HookPort驱动。。。。。
|
能力值:
(RANK:400 )
|
-
-
5 楼
N年前就被逆烂了..
|
能力值:
( LV13,RANK:290 )
|
-
-
6 楼
别人逆过它是别人的事
我研究它是我的事。。。。
|
能力值:
( LV15,RANK:670 )
|
-
-
7 楼
实习版主也是版主,不能说带有轻蔑语气的话。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
地球人都知道的事情...
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
过来顶一个,支持楼主走自己的路
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
LZ,我支持你 一个 ,很好 。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
LZ我**,学习是从基础开始的
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
就是,不能打击菜鸟的积极性,毕竟是大家共同维护的地方,看雪论坛就似我的一日三餐,少不得。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
好文。支持楼主。
|
能力值:
( LV12,RANK:210 )
|
-
-
14 楼
精华不在于此
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
真好 ..
|
能力值:
( LV13,RANK:290 )
|
-
-
16 楼
谢谢各位的支持
我只是分享下我的东西,希望能帮助到大家。
另外,别人逆的都是以前的版本,跟现在的版本多半会有所不同(很显然,360很s13,这么久都没变过);
还有,自己逆一遍肯定收获会更多,
所以必须自己搞。。。
其实逆向真的很简单,把它当作工具就好了,我只会点儿汇编都能逆出来。呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
<<<<<
优点:坚决不修改ssdt和内核模块中的数据,使得一般的工具软件无法检查出hook信息,也避免了和其他软件的不兼容性。
详细情况,请看图:
>>>>>
我想他已经修改了内核模块数据
其实使用 HOOK THREAD SSDT 会更加隐蔽
并且本人软件使用过该方法了 兼容性 稳定性都可以
|
能力值:
( LV13,RANK:290 )
|
-
-
18 楼
ls的,代码搞出来撒,
|
能力值:
( LV13,RANK:290 )
|
-
-
19 楼
没有看到它修改内核模块数据
我现正在偷窥360的各个功能,感觉很良好哈,
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
kifastcall 不是内核模块中的?
再就是如此明显的HOOK 任何 ark工具一搜就到
HOOK THREAD 就不公布源码了 因为本人软件正使用中(商业版) 可以给提示
看thread结构
之前网络上看到过 关于这方面的介绍但没见到过源码
不过网络上提供的思路是 修改thread里面的 ssdt指针 但是却缺少了最重要的一点
就是kifastcall里面线程 ssdt指针与 shadow指针 的转换 很要命这点克服就可以OK了
可以将整个kifastcall 逆向一下分析看看就会发现其实ssdt表的获取并非通过KeServiceDescriptorTable
此方法做到不修改任何内核原始数据 并且可以指定某个进程线程的 SSDT恢复&HOOK
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
我是绝对支持开源的,楼主,俺们支持你
|
能力值:
( LV4,RANK:50 )
|
-
-
22 楼
该 方法 在ROOTKIT.COM被人提及过,属于DKOM ,替换ETHREAD表里的SSDT表,思路不错,不过一样受到360hook的限制。
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
嗯确实 其实安全软件的控制 仅限于 没有进入内核之前 如果可以的话只要木马或是黑客 可以进入R0
那杀软的很多功能将会失效 并且很轻易就可以kill掉。就比如绕ssdt
所以我感觉杀毒其实更应该叫做防毒软件 因为病毒一旦能够进入,说明早已做好了充足准备
尤其是能在杀毒软件开启的状态下
其实想想那些每天挖漏洞过安软的牛人 就由心的对其“孜孜不倦”的钻研精神佩服有加
(不知道是不是完全的利益驱使)
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
以前看代码的时候,也有过这种想法
没想到的是真的可以实现啊
佩服佩服
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
支持楼主。写得非常好
|
|
|