[原创]畸形驱动过A盾-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 2 楼 xp下加载此驱动，无任何反应。 2012-10-24 09:57 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 3 楼这世界太疯狂了，现在又开始捣鼓过A盾了，嫌杀毒软件，和game保护档次太低嘛，收藏学习，写楼主分享。楼主不厚道，没上传源码。 2012-10-24 10:08 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 4 楼产品和工具不同产品要考虑的东西远大于工具 2012-10-24 10:18 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 5 楼你的驱动是要兼容所有杀软和一些其他程序啊当你能加载驱动后还有什么做不了啊最多是慢慢分析啊 2012-10-24 10:25 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 6 楼 sorry不是调试版本的 XP可以加载的源码在家里~~~~~~~~~~~ 我这周回去看看老妈在家么，没的我发出来 2012-10-24 10:34 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 7 楼没有看出哪里畸形，PE头等都是正常的,HIDEOBJECT吧？ 2012-10-24 11:05 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 8 楼我是说加载驱动，无任何钩子。驱动已经起来了，但是Xuetr也看不见钩子。 2012-10-24 13:41 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 9 楼楼上的现在你试试~~~~~ 不仅仅是A盾 POWER KERNEL......目前就Xuetr 其他的要反汇编 2012-10-24 13:50 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 10 楼靠不住啊，靠不住。上传的附件： 2012-10-24_141116.png （8.83kb，165次下载） 2012-10-24 14:12 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼麻烦把驱动名字改和上面一样我忘记了~~抱歉 2012-10-24 16:45 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 12 楼看不懂楼主图片上的意思，我只能认为是A盾检查不到hook过滤函数所在的模块而已，如果说过了A盾，怎么还能看到ssdt的hook？所谓过，就是要无声无息，看不到任何的痕迹，看不到函数被hook了，那才叫过啊，你这样那里叫过。。。。o(╯□╰)o 看来楼主没有写过实战的rk，不认识精髓。 2012-10-24 16:58 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 13 楼额我表述问题。。只是让你妹检测模块而已(⊙o⊙)… 2012-10-24 17:27 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 14 楼隐藏一下驱动对象xuetr都检测不到hook模块的名称了. 2012-10-24 18:38 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 15 楼很显然，在SSDThook取hook函数所在模块这里，我只是简单通过ZwQuerySystemInformation来取而已。这不是重点啊，重点是在“驱动模块”那里还是可以看到你的驱动。 2012-10-24 20:35 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 16 楼嗯你的源代码充分说明网上的大多安全检测工具都是你那么干的 2012-10-25 06:55 0
tkby 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	tkby 17 楼好东西，亲测可用，呵呵~ 2012-10-26 22:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 2 楼 xp下加载此驱动，无任何反应。 2012-10-24 09:57 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 3 楼这世界太疯狂了，现在又开始捣鼓过A盾了，嫌杀毒软件，和game保护档次太低嘛，收藏学习，写楼主分享。楼主不厚道，没上传源码。 2012-10-24 10:08 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 4 楼产品和工具不同产品要考虑的东西远大于工具 2012-10-24 10:18 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 5 楼你的驱动是要兼容所有杀软和一些其他程序啊当你能加载驱动后还有什么做不了啊最多是慢慢分析啊 2012-10-24 10:25 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 6 楼 sorry不是调试版本的 XP可以加载的源码在家里~~~~~~~~~~~ 我这周回去看看老妈在家么，没的我发出来 2012-10-24 10:34 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 7 楼没有看出哪里畸形，PE头等都是正常的,HIDEOBJECT吧？ 2012-10-24 11:05 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 8 楼我是说加载驱动，无任何钩子。驱动已经起来了，但是Xuetr也看不见钩子。 2012-10-24 13:41 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 9 楼楼上的现在你试试~~~~~ 不仅仅是A盾 POWER KERNEL......目前就Xuetr 其他的要反汇编 2012-10-24 13:50 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 10 楼靠不住啊，靠不住。上传的附件： 2012-10-24_141116.png （8.83kb，165次下载） 2012-10-24 14:12 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼麻烦把驱动名字改和上面一样我忘记了~~抱歉 2012-10-24 16:45 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 12 楼看不懂楼主图片上的意思，我只能认为是A盾检查不到hook过滤函数所在的模块而已，如果说过了A盾，怎么还能看到ssdt的hook？所谓过，就是要无声无息，看不到任何的痕迹，看不到函数被hook了，那才叫过啊，你这样那里叫过。。。。o(╯□╰)o 看来楼主没有写过实战的rk，不认识精髓。 2012-10-24 16:58 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 13 楼额我表述问题。。只是让你妹检测模块而已(⊙o⊙)… 2012-10-24 17:27 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 14 楼隐藏一下驱动对象xuetr都检测不到hook模块的名称了. 2012-10-24 18:38 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 15 楼很显然，在SSDThook取hook函数所在模块这里，我只是简单通过ZwQuerySystemInformation来取而已。这不是重点啊，重点是在“驱动模块”那里还是可以看到你的驱动。 2012-10-24 20:35 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 16 楼嗯你的源代码充分说明网上的大多安全检测工具都是你那么干的 2012-10-25 06:55 0
tkby 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	tkby 17 楼好东西，亲测可用，呵呵~ 2012-10-26 22:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复