首页
社区
课程
招聘
[原创]畸形驱动过A盾
发表于: 2012-10-24 09:37 6227

[原创]畸形驱动过A盾

2012-10-24 09:37
6227
加载后文件暴走我拿E语言敷衍了一下 学校没C 没SSDT OBJECT保护的文件文件名随意改 重启电脑业是一样

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 2271
活跃值: (2160)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
2
xp下加载此驱动,无任何反应。
2012-10-24 09:57
0
雪    币: 297
活跃值: (120)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
这世界太疯狂了,现在又开始捣鼓过A盾了,嫌杀毒软件,和game保护档次太低嘛,收藏学习,写楼主分享。楼主不厚道,没上传源码。
2012-10-24 10:08
0
雪    币: 596
活跃值: (449)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
4
产品和工具不同 产品要考虑的东西远大于工具
2012-10-24 10:18
0
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
你的驱动 是要兼容所有杀软 和一些 其他程序啊 当你能加载驱动后 还有什么做不了啊 最多是慢慢分析啊
2012-10-24 10:25
0
雪    币: 219
活跃值: (773)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
6
sorry不是调试版本的 XP可以加载的 源码在家里~~~~~~~~~~~   我这周回去 看看老妈在家么,没的我发出来
2012-10-24 10:34
0
雪    币: 6524
活跃值: (4316)
能力值: ( LV10,RANK:163 )
在线值:
发帖
回帖
粉丝
7
  没有看出哪里畸形,PE头等都是正常的,HIDEOBJECT吧?
2012-10-24 11:05
0
雪    币: 2271
活跃值: (2160)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
8
我是说加载驱动,无任何钩子。驱动已经起来了,但是Xuetr也看不见钩子。
2012-10-24 13:41
0
雪    币: 219
活跃值: (773)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
9
楼上的 现在你试试~~~~~ 不仅仅是A盾 POWER KERNEL......目前就Xuetr
其他的要反汇编  
2012-10-24 13:50
0
雪    币: 2271
活跃值: (2160)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
10


靠不住啊,靠不住。
上传的附件:
2012-10-24 14:12
0
雪    币: 219
活跃值: (773)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
11
麻烦把驱动名字改和上面一样 我忘记了~~抱歉
2012-10-24 16:45
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
12
看不懂楼主图片上的意思,我只能认为是A盾检查不到hook过滤函数所在的模块而已,如果说过了A盾,怎么还能看到ssdt的hook?

所谓过,就是要无声无息,看不到任何的痕迹,看不到函数被hook了,那才叫过啊,你这样那里叫过。。。。o(╯□╰)o

看来楼主没有写过实战的rk,不认识精髓。
2012-10-24 16:58
0
雪    币: 219
活跃值: (773)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
13
额 我表述问题。。只是让你妹检测模块而已(⊙o⊙)…
2012-10-24 17:27
0
雪    币: 6524
活跃值: (4316)
能力值: ( LV10,RANK:163 )
在线值:
发帖
回帖
粉丝
14
  隐藏一下驱动对象xuetr都检测不到hook模块的名称了.
2012-10-24 18:38
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
15
  很显然,在SSDThook取hook函数所在模块这里,我只是简单通过ZwQuerySystemInformation来取而已。

这不是重点啊,重点是在“驱动模块”那里还是可以看到你的驱动。
2012-10-24 20:35
0
雪    币: 219
活跃值: (773)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
16
嗯   你的源代码充分说明 网上的大多安全检测工具都是你那么干的
2012-10-25 06:55
0
雪    币: 9
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
好东西,亲测可用,呵呵~
2012-10-26 22:34
0
游客
登录 | 注册 方可回帖
返回
//