-
-
[分享]重读老文章系列:你不知道的重定向方式
-
发表于:
2012-7-13 20:27
7250
-
老文章
http://blog.csdn.net/iiprogram/article/details/624371
伪造内核文件来绕过检测的核心是重定向,重定向的方式有很多,这里就不列举了。
但是大多数方式随着ARK技术进步全面颓废了。
这里要说的是一种新方法哦,亲~
值得一提,在Inside windows 2000的书上有说道,\\systemroot其实是一个符号连接
符号连接哦,亲,再看A盾的代码中,我们不难看到大量使用\\systemroot的地方哦
这里你会不会想到什么,对了就是符号连接是可以自己XXOO
代码举例:
UNICODE_STRING sysroot, mypart;
RtlInitUnicodeString(&sysroot, L"\\SystemRoot");
RtlInitUnicodeString(&mypart, L"\\Device\\Harddisk0\\MyDisk\\MyNTDir");//神秘disk中我自己的systemroot哦~~
IoDeleteSymbolicLink(&sysroot);
IoCreateSymbolicLink(&sysroot, &mypart);
补充一下:
其实很多东西都可以利用符号连接,比如config目录等等
PS:
最近因为工作调动,手头较紧,求捐助。有意者联系 QQ:86879759
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课