能力值:
( LV2,RANK:10 )
|
-
-
2 楼
64位下SSDT没有导出需要自己定位
64位下驱动加载必须有签名,除非你用TDL4方式加载:replace kdcom.dll+reload and run~
再有HOOK SSDT会蓝的,因为有PatchGuard
我劝你还是放弃吧~
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
话说x64有个东西叫patchguard
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
网上有文章《在Win64系统上免费加载驱动以及绕过PatchGuard(WIN64内核越狱)》,求高手讲解!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
鸡肋文章,不看也罢
纯粹理论性的东西,根本没实用价值。你见过那个马或者正规安全软件对系统做这么大的修改的?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
或者有其他方法吗?求大大们指点:比如我想在Win64下面隐藏所有的.doc文件,除了hook ZwQuery...函数,有别的途径吗?
|
能力值:
(RANK:400 )
|
-
-
7 楼
文件过滤驱动就可以了。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
请推荐相关帖子,学习资料!我一直以为文件过滤驱动都是 在openfile的时候被调用,比如查病毒什么的,要用文件过滤驱动,而且这类驱动都是处理文件内容的,好像和我需要的功能是2回事儿。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
我装的是WDK7600,在src\filesys\miniFilter 目录下有MetadataManager、minispy、nullFilter、passThrough等几个例子,请问对于我要实现的功能,即隐藏.doc文档,可不可以通过修改某个例子的某几个函数来实现呢?
求指教!
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
http://bbs.pediy.com/showthread.php?t=144511
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
替换内核可以过PatchGuard的,你可以网上找找。
x64的SSDT方法也很多,有个老外的你看看吧
ULONGLONG GetKeServiceDescriptorTable64()
{
char KiSystemServiceStart_pattern[13] = "\x8B\xF8\xC1\xEF\x07\x83\xE7\x20\x25\xFF\x0F\x00\x00";
ULONGLONG CodeScanStart = (ULONGLONG)&_strnicmp;
ULONGLONG CodeScanEnd = (ULONGLONG)&KdDebuggerNotPresent;
UNICODE_STRING Symbol;
ULONGLONG i, tbl_address, b;
for (i = 0; i < CodeScanEnd - CodeScanStart; i++)
{
if (!memcmp((char*)(ULONGLONG)CodeScanStart +i, (char*)KiSystemServiceStart_pattern,13))
{
for (b = 0; b < 50; b++)
{
tbl_address = ((ULONGLONG)CodeScanStart+i+b);
if (*(USHORT*) ((ULONGLONG)tbl_address ) == (USHORT)0x8d4c)
return ((LONGLONG)tbl_address +7) + *(LONG*)(tbl_address +3);
}
}
}
return 0;
}
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
在Vista以上版本的x64系统,最好使用微软提供的接口来实现相关的功能。隐藏文件可以使用文件过滤驱动。
PS:替换内核文件这种方法还是不要用的好。正规软件不能这么搞,搞木马这么搞又太鸡肋
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
ZwQueryDirectoryFiles不仅仅可以在SSDT里搞,还可以在用户态搞。
64位首先没签名加载不了驱动,其次加载了驱动也没法挂钩子,但是可以采用文件过滤驱动来做。
用户态可以用全局钩子(或Explorer插件)注入到需要隐藏文件的进程中,然后挂钩ntdll中的ZwQueryDirectoryFile即可。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
原来隐藏文件有这么多方法的!!谢谢上面所有回复的大大们,我先研究研究zadley给的那个藏目录的帖子,因为那上面的代码比较多,以后一个个研究64位HOOK SSDT和用户态下的HOOK!
谢谢各位
|
|
|