首页
社区
课程
招聘
[原创]BK记录1--TDL4 引导 IDB
发表于: 2012-11-15 11:06 12341

[原创]BK记录1--TDL4 引导 IDB

2012-11-15 11:06
12341
收藏
免费 6
支持
分享
最新回复 (31)
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
26
1.一般磁盘的未分配空间都是小于等于8M的 这个可以通过2个IOCTL获取,然后一减就减出来了
2.实际上可以试试多种办法结合在一起,例如Patch OSLoader+替换KDCOM 这样我感觉兼容更好些。一直想搞就是因为各种课没时间。。。。
2012-11-16 13:03
0
雪    币: 347
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
不懂哎~
围观~
感谢分享
2012-11-16 13:07
0
雪    币: 673
活跃值: (278)
能力值: ( LV15,RANK:360 )
在线值:
发帖
回帖
粉丝
28
老V的意思是 无任何hook 直接写个16位的解析FS的东西 然后DLL劫持
基于MBR的DLL 劫持 ........
2012-11-16 15:46
0
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
29
你有没有想过如果那个DLL被杀了咋办。
2012-11-16 15:58
0
雪    币: 673
活跃值: (278)
能力值: ( LV15,RANK:360 )
在线值:
发帖
回帖
粉丝
30
目前测试结果 过不了基于hash比对的云查杀....  确切的说 测试结果是过不了360....
我说的xfish你还记得吧 推荐我用Delphi写功能型shellcode 当时 我差点以为那个博客是他的

好吧 说一下 我现在见到的 目前还能够anti all的马是怎么做的

一般是劫持dll 加载shellcode 再加载原来的dll模块(1省的jmp到导出函数2可以劫持系统的任何的dll模块跟本不用去管他的导出函数)  shellcode卸载dll shellcode稳定运行在进程空间里(至于shellcode  内存中分段执行或者内存自修改 更或者用多态变形 等技术....)
不知道 某淫会不会骂我  ....

额外 再问一句 你的syser究竟是怎么调试的啊 syser改成 system之后 驱动syser.sys的start=1
启动优先顺序很低 根本断不到TDL4加载驱动的代码 手动改成start=0 syser自动就变成manual了 我很无语
2012-11-16 16:36
0
雪    币: 544
活跃值: (264)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
31
woyaoaiai

我要爱爱(XXOO)??
2012-11-23 11:38
0
雪    币: 673
活跃值: (278)
能力值: ( LV15,RANK:360 )
在线值:
发帖
回帖
粉丝
32
下回设置密码 叫XXOO

你说 每天写程序 不搞点这些 调调情 程序怎么写得下去
2012-11-23 19:32
0
游客
登录 | 注册 方可回帖
返回
//