首页
社区
课程
招聘
求助]XT隐藏的驱动部分用的什么方法
2013-1-1 18:41 5842

求助]XT隐藏的驱动部分用的什么方法

2013-1-1 18:41
5842
最近有个小程序跟XT差不多  
用XT可以查询到.sys的路径 但是用XT定位文件失败 显示文件不存在
他们是把.sys断链了 还是从exe中释放加载.sys后直接删除了?

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

收藏
点赞0
打赏
分享
最新回复 (12)
雪    币: 64
活跃值: (157)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
liuqiangni 2 2013-1-1 19:49
2
0
删除不就定位不到了么
雪    币: 281
活跃值: (28)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
aiwuxian 1 2013-1-1 21:41
3
0
我想知道XT是把.sys加载到内存后 就把硬盘里面的.sys文件删除了? 还是只是断链 来达到无法定位(XT里面可以看到.sys的路径,但是路径文件夹里面不存在)
雪    币: 101
活跃值: (142)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
cxxxx 1 2013-1-1 23:08
4
0
文件删了。。。。
雪    币: 107
活跃值: (311)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Fido 2013-1-1 23:38
5
0
留着文件坐等copy?
雪    币: 281
活跃值: (28)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
aiwuxian 1 2013-1-1 23:44
6
0
腾讯 360都没删驱动文件  个人的小软件何必呢....

相煎何太急啊
雪    币: 780
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
Winker 8 2013-1-2 00:05
7
0
如果RK作者要弄你的sys分析,就算你删了照样能弄出来。

so,猜测删驱动文件只是个人习惯~
雪    币: 281
活跃值: (28)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
aiwuxian 1 2013-1-2 01:10
8
0
额 我把那个已经删除驱动文件的.sys映射到内存的那几个块拷贝下来生成一个.sys了,不过这样用IDA打开这个从内存生成的.sys就只有地址了(包括变量,函数名,ntoskrnl的导入函数也只有地址,没有函数名)。
而每次重启后从ntoskenl都加载到不同的地址,有啥办法可以让从内存拷贝的在IDA也显示正常的函数名,变量
雪    币: 101
活跃值: (142)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
cxxxx 1 2013-1-2 17:08
9
0
人家小工具只有一个EXE文件,带个SYS不爽所以就要用的时候创建用完了就删了呗。。。
你可以在它删除之后去复制出来啊。。。用个啥拦截一下驱动加载,copy出来之后再通过就可以了。。
雪    币: 225
活跃值: (169)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qiluword 2013-1-2 17:14
10
0
加载驱动成功了,就把驱动文件删除掉
雪    币: 11
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
yishenbiao 2013-1-2 22:59
11
0
看过一篇文章……hook 一个函数……加载映像的那个英文函数……函数名字忘了……你看一下看雪……可以dump出完整的sys来……
雪    币: 40
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gddcxysqw 2013-1-2 23:35
12
0
装个数字卫士,运行就拦截了,然后直接拷贝即可
雪    币: 12
活跃值: (388)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MaMy 2013-1-3 17:45
13
0
禁止加载驱动就行.xt会释放很多个.然后弹出加载失败
游客
登录 | 注册 方可回帖
返回