[原创]---驱动调试——挫败 QQ.EXE 的内核模式保护机制（part I）----编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (34) ◀ 1 2
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 26 楼叼，我是没有学会这么底层 2018-6-12 16:40 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 27 楼流哥叼，我是没有学会这么底层硬件抽象层（HAL）比这更 underlying，当然，最 underlying 的莫过于运行在 “裸机” 上的 16 位实模式程序，此刻 OS 甚至都还没有被载入 RAM 呢！ 2018-6-21 19:19 0
哆哆佳佳雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	哆哆佳佳 28 楼很好学习了谢谢 2018-6-23 22:32 0
niuzuoquan 雪币： 300 活跃值： (2372) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 522 粉丝 2 关注私信	niuzuoquan 29 楼 mark 2018-6-25 19:58 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 30 楼 shayi 硬件抽象层（HAL）比这更 underlying，当然，最 underlying 的莫过于运行在 “裸机” 上的 16 位实模式程序，此刻 OS 甚至都还没有被载入 RAM 呢！那是不是对windows10也可以在没有引导的时候就开始注入修改？ 2018-7-31 15:39 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 31 楼流哥那是不是对windows10也可以在没有引导的时候就开始注入修改？理论上这对于任何操作系统都可行。事实上·，这就是· bootkit 的机理，它将磁盘上原来合法的 MBR（由OS安装程序写入0号扇区），修改为 bootkit 的加载器，抢在内核前向内存注入恶意代码，实现更好的隐蔽性，完成它肮脏的事情后，再将控制转移到原来的前512字节MBR代码，好像啥事都没发生一样。一些BIOS 或UEFI bootkit 甚至就驻留在那些非易失性存储器的 ROM 中，借此绕过磁盘取证分析。 2018-7-31 16:21 1
ggggg 雪币： 1749 活跃值： (902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	ggggg 33 楼很有时间系列..... 2018-8-31 15:13 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 34 楼这windbg用的6 2018-12-24 19:05 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 35 楼 kongfubull 这windbg用的6 也是参考一些网上先驱们的文章再加以改进而成的，站在巨人肩上看得更远 2019-1-3 13:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (34) ◀ 1 2
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 26 楼叼，我是没有学会这么底层 2018-6-12 16:40 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 27 楼流哥叼，我是没有学会这么底层硬件抽象层（HAL）比这更 underlying，当然，最 underlying 的莫过于运行在 “裸机” 上的 16 位实模式程序，此刻 OS 甚至都还没有被载入 RAM 呢！ 2018-6-21 19:19 0
哆哆佳佳雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	哆哆佳佳 28 楼很好学习了谢谢 2018-6-23 22:32 0
niuzuoquan 雪币： 300 活跃值： (2372) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 522 粉丝 2 关注私信	niuzuoquan 29 楼 mark 2018-6-25 19:58 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 30 楼 shayi 硬件抽象层（HAL）比这更 underlying，当然，最 underlying 的莫过于运行在 “裸机” 上的 16 位实模式程序，此刻 OS 甚至都还没有被载入 RAM 呢！那是不是对windows10也可以在没有引导的时候就开始注入修改？ 2018-7-31 15:39 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 31 楼流哥那是不是对windows10也可以在没有引导的时候就开始注入修改？理论上这对于任何操作系统都可行。事实上·，这就是· bootkit 的机理，它将磁盘上原来合法的 MBR（由OS安装程序写入0号扇区），修改为 bootkit 的加载器，抢在内核前向内存注入恶意代码，实现更好的隐蔽性，完成它肮脏的事情后，再将控制转移到原来的前512字节MBR代码，好像啥事都没发生一样。一些BIOS 或UEFI bootkit 甚至就驻留在那些非易失性存储器的 ROM 中，借此绕过磁盘取证分析。 2018-7-31 16:21 1
ggggg 雪币： 1749 活跃值： (902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	ggggg 33 楼很有时间系列..... 2018-8-31 15:13 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 34 楼这windbg用的6 2018-12-24 19:05 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 35 楼 kongfubull 这windbg用的6 也是参考一些网上先驱们的文章再加以改进而成的，站在巨人肩上看得更远 2019-1-3 13:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复