[原创]重读老文章系列：驱动加载拦截的那几个事儿-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 2 楼顶了再看 2012-7-28 21:17 0
amyhaber 雪币： 127 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	amyhaber 3 楼果断握个爪~ 现在的淫们都被x86惯坏了 2012-7-28 21:20 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 4 楼擦，校又来了 2012-7-28 23:08 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 5 楼在回调里面做拦截，x64下是微软推荐的做法。 2012-7-29 13:30 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 6 楼 ELAM的话，avast应该支持了。 2012-7-29 14:44 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 7 楼弱弱的问一下，LoadImageNotifyRoutine这个只是一个异步的通知callback，怎么在里面做拦截呢 2012-8-1 17:13 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 8 楼通知是同步的，你可以看下NtCreateProcess的实现。 2012-8-1 19:17 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 9 楼嗯，是同步的，可能我没表达清楚，简单说吧，在注册表的NotifyRoutine中，可以在Pre处理里拒绝注册表的操作，那么在LOAD_IMAGE_NOTIFY_ROUTINE 中，监控到驱动加载没有问题，怎样去拒绝驱动的加载，不能拒绝的话怎么拦截呢 2012-8-1 20:29 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼驱动的image是可以被改成无害的内容。你懂得？ 2012-8-1 20:51 0
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 11 楼 Patch~ 2012-8-1 20:55 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 12 楼这样啊，明白了 2012-8-2 09:13 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 13 楼这个回调函数的注册太特别了吧！ 2012-8-2 11:25 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 14 楼哈哈~~~V校又爆了，此法取之于民，用之于民啊 2012-8-4 21:49 0
xlshn 雪币： 123 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	xlshn 15 楼 M$ 是什么意思？ 2012-8-7 20:04 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 16 楼 mark 神父驱动加载拦 2012-8-7 20:57 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 17 楼这个回调函数的注册太特别了吧！ 2012-11-9 18:21 0
yimingqpa 雪币： 6542 活跃值： (4341) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 18 楼回调很好摘掉吧？驱动加载不上,内核的hook应用层没法弄吧？ 2012-11-9 19:17 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 19 楼果断握个爪~ 现在的淫们都被x86惯坏了 2012-11-20 18:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 2 楼顶了再看 2012-7-28 21:17 0
amyhaber 雪币： 127 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	amyhaber 3 楼果断握个爪~ 现在的淫们都被x86惯坏了 2012-7-28 21:20 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 4 楼擦，校又来了 2012-7-28 23:08 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 5 楼在回调里面做拦截，x64下是微软推荐的做法。 2012-7-29 13:30 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 6 楼 ELAM的话，avast应该支持了。 2012-7-29 14:44 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 7 楼弱弱的问一下，LoadImageNotifyRoutine这个只是一个异步的通知callback，怎么在里面做拦截呢 2012-8-1 17:13 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 8 楼通知是同步的，你可以看下NtCreateProcess的实现。 2012-8-1 19:17 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 9 楼嗯，是同步的，可能我没表达清楚，简单说吧，在注册表的NotifyRoutine中，可以在Pre处理里拒绝注册表的操作，那么在LOAD_IMAGE_NOTIFY_ROUTINE 中，监控到驱动加载没有问题，怎样去拒绝驱动的加载，不能拒绝的话怎么拦截呢 2012-8-1 20:29 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼驱动的image是可以被改成无害的内容。你懂得？ 2012-8-1 20:51 0
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 11 楼 Patch~ 2012-8-1 20:55 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 12 楼这样啊，明白了 2012-8-2 09:13 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 13 楼这个回调函数的注册太特别了吧！ 2012-8-2 11:25 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 14 楼哈哈~~~V校又爆了，此法取之于民，用之于民啊 2012-8-4 21:49 0
xlshn 雪币： 123 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	xlshn 15 楼 M$ 是什么意思？ 2012-8-7 20:04 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 16 楼 mark 神父驱动加载拦 2012-8-7 20:57 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 17 楼这个回调函数的注册太特别了吧！ 2012-11-9 18:21 0
yimingqpa 雪币： 6542 活跃值： (4341) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 18 楼回调很好摘掉吧？驱动加载不上,内核的hook应用层没法弄吧？ 2012-11-9 19:17 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 19 楼果断握个爪~ 现在的淫们都被x86惯坏了 2012-11-20 18:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复