能力值:
( LV2,RANK:10 )
|
-
-
2 楼
这个容易做的,只要将某些代码加密成数据,驱动初始化时解密定位,就可以了
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
呵呵,把int 01 int 03 给保存(boot start)下来再用app调用定期恢复中断.玩死调试器先,
同时解密装入内存后,将image文件填0后再删除之.别在硬盘上留马迹.
就基本上可以防止一般的调试了.
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
多谢!
不过驱动一般程序都很小,就几K或者几十K,静态的反汇编很容易看到的。如果要手工改就到了DeviceIoControl了,这样动态的做代码还要考虑重定位的问题啊,在驱动里做,呵呵,我比较怕啊,兰屏啊。
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
呵呵,做驱动就要习惯蓝屏,就跟见面叫"早上好"一样,不用怕,有driververifiy 和boundcheck 在还怕蓝屏吗?
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
最初由 machoman 发布 呵呵,做驱动就要习惯蓝屏,就跟见面叫"早上好"一样,不用怕,有driververifiy 和boundcheck 在还怕蓝屏吗?
多谢,我还不知道有driververifiy这个工具。另外BoundCheck能用在驱动上吗?
静态的当然不怕啊,但如果要给驱动做内存布丁就...... ,还要能跨系统,2000和XP都要支持。
不过请教一下,driververifiy能检测驱动的内存布丁吗?就是驱动里有一部分代码是假的,要再打一次布丁才可以正常运行的那种。
|
|
|