能力值:
( LV3,RANK:30 )
|
-
-
2 楼
驱动直接patch掉PE入口不就是了
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
ImageInfo->ImageBase获取基址,然后瞎改一点啥东西就启动不了了
把路径和r3通信
r3校验md5
如果md5不通过就不处理了,如果md5通过,再由本进程重新加载此驱动(记得把自己的关联进程加到白名单里)
嗯,就这样
That end。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
这样的话 原来尝试加载驱动的程序 会知道驱动加载失败了吧
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
我是说,还写imagebase内容之后,我发现这个驱动在白名单,然后我再去加载这个驱动。那原来的程序,肯定知道它的加载失败了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
难道说,我要自己写一段代码,一直loop,并等待某个放行或拦截的信号,然后把入口点指向我这段代码?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
LoadImage中读取PE文件直接算MD5,然后根据事先定义好的黑MD5名单判断是否PatchPE返回加载失败
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
7楼,这样来得及吗?notify只是通知,系统不会等待我的回调函数执行完毕才开始加载驱动吧?
|
能力值:
( LV3,RANK:30 )
|
-
-
9 楼
麻烦搞清楚人家通知是串行的好不好……又不是并行异步消息……而且按你说的是并行异步消息的话,前面说的系统卡爆了………异步的话卡毛线啊
|
能力值:
( LV3,RANK:30 )
|
-
-
10 楼
sys的话你去读文件算md5没问题……除此之外,你试试你的系统卡死不……
不过只管sys的这么搞也将就
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
有卡死的话搞个WorkItem去干活嘛,又不是不能解决,要自己想办法
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
感谢各位的回复,notify原来是串行处理。。。。。一直以为是异步的。。。多谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
汗……才知道是是串行处理的啊……
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
唉,惭愧啊!
一直是凭感觉认为notify可能是异步的,因为如果是同步处理,会影响系统效率啊.
现在一想: 微软其实有考虑效率的问题,它限制了notify的数量啊.
只能怪自己没多动手,没多消化.
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
限制notify数量是个大坑好吧……
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
楼主解决了吗
|
|
|