首页
社区
课程
招聘
[原创]---驱动调试——挫败 QQ.EXE 的内核模式保护机制(part I)---
发表于: 2018-5-3 20:37 19379

[原创]---驱动调试——挫败 QQ.EXE 的内核模式保护机制(part I)---

2018-5-3 20:37
19379
收藏
免费 2
支持
分享
最新回复 (34)
雪    币: 140
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
叼,我是没有学会这么底层
2018-6-12 16:40
0
雪    币: 1604
活跃值: (640)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
27
流哥 叼,我是没有学会这么底层
硬件抽象层(HAL)比这更  underlying,当然,最  underlying  的莫过于运行在  “裸机”  上的  16  位实模式程序,此刻  OS  甚至都还没有被载入  RAM  呢! 
2018-6-21 19:19
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
  很好    学习了    谢谢
2018-6-23 22:32
0
雪    币: 300
活跃值: (2372)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
mark
2018-6-25 19:58
0
雪    币: 140
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
shayi 硬件抽象层(HAL)比这更 underlying,当然,最 underlying 的莫过于运行在 “裸机” 上的 16 位实模式程序,此刻 OS 甚至都还没有被载入 RAM 呢!
那是不是对windows10也可以在没有引导的时候就开始注入修改?
2018-7-31 15:39
0
雪    币: 1604
活跃值: (640)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
31
流哥 那是不是对windows10也可以在没有引导的时候就开始注入修改?
理论上这对于任何操作系统都可行。
事实上·,这就是· bootkit 的机理,它将磁盘上原来合法的 MBR(由OS安装程序写入0号扇区) ,修改为 bootkit 的加载器,抢在内核前向内存注入恶意代码,实现更好的隐蔽性,完成它肮脏的事情后,再将控制转移到原来的前512字节MBR代码,好像啥事都没发生一样。一些BIOS 或UEFI bootkit 甚至就驻留在那些非易失性存储器的 ROM 中,借此绕过磁盘取证分析。
2018-7-31 16:21
1
雪    币: 1749
活跃值: (902)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
很有时间系列.....
2018-8-31 15:13
0
雪    币: 73
活跃值: (923)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
这windbg用的6
2018-12-24 19:05
0
雪    币: 1604
活跃值: (640)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
35
kongfubull 这windbg用的6
也是参考一些网上先驱们的文章再加以改进而成的,站在巨人肩上看得更远
2019-1-3 13:27
0
游客
登录 | 注册 方可回帖
返回
//