求助]XT隐藏的驱动部分用的什么方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 2 楼删除不就定位不到了么 2013-1-1 19:49 0
aiwuxian 雪币： 281 活跃值： (28) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 3 楼我想知道XT是把.sys加载到内存后就把硬盘里面的.sys文件删除了？还是只是断链来达到无法定位（XT里面可以看到.sys的路径，但是路径文件夹里面不存在） 2013-1-1 21:41 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 4 楼文件删了。。。。 2013-1-1 23:08 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 5 楼留着文件坐等copy? 2013-1-1 23:38 0
aiwuxian 雪币： 281 活跃值： (28) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 6 楼腾讯 360都没删驱动文件个人的小软件何必呢.... 相煎何太急啊 2013-1-1 23:44 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 7 楼如果RK作者要弄你的sys分析，就算你删了照样能弄出来。 so，猜测删驱动文件只是个人习惯~ 2013-1-2 00:05 0
aiwuxian 雪币： 281 活跃值： (28) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 8 楼额我把那个已经删除驱动文件的.sys映射到内存的那几个块拷贝下来生成一个.sys了，不过这样用IDA打开这个从内存生成的.sys就只有地址了（包括变量，函数名，ntoskrnl的导入函数也只有地址，没有函数名）。而每次重启后从ntoskenl都加载到不同的地址，有啥办法可以让从内存拷贝的在IDA也显示正常的函数名，变量 2013-1-2 01:10 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 9 楼人家小工具只有一个EXE文件，带个SYS不爽所以就要用的时候创建用完了就删了呗。。。你可以在它删除之后去复制出来啊。。。用个啥拦截一下驱动加载，copy出来之后再通过就可以了。。 2013-1-2 17:08 0
qiluword 雪币： 225 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 10 楼加载驱动成功了，就把驱动文件删除掉 2013-1-2 17:14 0
yishenbiao 雪币： 15 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	yishenbiao 11 楼看过一篇文章……hook 一个函数……加载映像的那个英文函数……函数名字忘了……你看一下看雪……可以dump出完整的sys来…… 2013-1-2 22:59 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 12 楼装个数字卫士，运行就拦截了，然后直接拷贝即可 2013-1-2 23:35 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 13 楼禁止加载驱动就行.xt会释放很多个.然后弹出加载失败 2013-1-3 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 2 楼删除不就定位不到了么 2013-1-1 19:49 0
aiwuxian 雪币： 281 活跃值： (28) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 3 楼我想知道XT是把.sys加载到内存后就把硬盘里面的.sys文件删除了？还是只是断链来达到无法定位（XT里面可以看到.sys的路径，但是路径文件夹里面不存在） 2013-1-1 21:41 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 4 楼文件删了。。。。 2013-1-1 23:08 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 5 楼留着文件坐等copy? 2013-1-1 23:38 0
aiwuxian 雪币： 281 活跃值： (28) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 6 楼腾讯 360都没删驱动文件个人的小软件何必呢.... 相煎何太急啊 2013-1-1 23:44 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 7 楼如果RK作者要弄你的sys分析，就算你删了照样能弄出来。 so，猜测删驱动文件只是个人习惯~ 2013-1-2 00:05 0
aiwuxian 雪币： 281 活跃值： (28) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	aiwuxian 1 8 楼额我把那个已经删除驱动文件的.sys映射到内存的那几个块拷贝下来生成一个.sys了，不过这样用IDA打开这个从内存生成的.sys就只有地址了（包括变量，函数名，ntoskrnl的导入函数也只有地址，没有函数名）。而每次重启后从ntoskenl都加载到不同的地址，有啥办法可以让从内存拷贝的在IDA也显示正常的函数名，变量 2013-1-2 01:10 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 9 楼人家小工具只有一个EXE文件，带个SYS不爽所以就要用的时候创建用完了就删了呗。。。你可以在它删除之后去复制出来啊。。。用个啥拦截一下驱动加载，copy出来之后再通过就可以了。。 2013-1-2 17:08 0
qiluword 雪币： 225 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 209 粉丝 0 关注私信	qiluword 10 楼加载驱动成功了，就把驱动文件删除掉 2013-1-2 17:14 0
yishenbiao 雪币： 15 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	yishenbiao 11 楼看过一篇文章……hook 一个函数……加载映像的那个英文函数……函数名字忘了……你看一下看雪……可以dump出完整的sys来…… 2013-1-2 22:59 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 12 楼装个数字卫士，运行就拦截了，然后直接拷贝即可 2013-1-2 23:35 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 13 楼禁止加载驱动就行.xt会释放很多个.然后弹出加载失败 2013-1-3 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复