能力值:
( LV5,RANK:68 )
|
-
-
2 楼
今天的很有时间系列由hzqst主持,大家没意见吧
|
能力值:
( LV5,RANK:60 )
|
-
-
3 楼
顶 ,感谢分享
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
IsValidImage
|
能力值:
( LV3,RANK:30 )
|
-
-
5 楼
前排卖瓜子
|
能力值:
( LV6,RANK:80 )
|
-
-
6 楼
今天的很有时间系列由hzqst主持,大家没意见吧
|
能力值:
( LV12,RANK:760 )
|
-
-
7 楼
然而MapView发生时的IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION并不是必要的,有一些高权重miniflt会直接完成这个Acquire,后面的filter全部收不到了,比如BE就会收不到。 比如某至高权重的驱动( 某驱动435500 ,一个正规LDP系统里的)
BEDaisy.sys的权重是363220,甚至不如我的372100
最后于 2018-5-5 11:07
被cvcvxk编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
BattlEye是什么
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
不错,比在loadimage CALLBACK 里做PATCH 要好。
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
大表哥和老V是约好了吗?
|
能力值:
( LV5,RANK:60 )
|
-
-
11 楼
谢谢分享
|
能力值:
( LV3,RANK:30 )
|
-
-
12 楼
STATUS_INSUFFICIENT_RESOURCES 就很魔性了 之前写minifilter的时候为了不提示 先返回挂起再在挂起回调里面阻止
|
能力值:
( LV12,RANK:760 )
|
-
-
13 楼
其实一些风骚的pe文件的e_lfanew可能大于0x1000,比如某文件的e_lfanew是0x30000 于是只读0x1000的判断pe就统统升天 有大于0x1000自然有还有小于0的e_lfanew(dosheader里这玩意是LONG)
最后于 2018-5-8 18:07
被cvcvxk编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
谢谢分享
|
能力值:
( LV1,RANK:0 )
|
-
-
16 楼
拦截杀毒软件蓝屏
|
能力值:
( LV1,RANK:0 )
|
-
-
17 楼
拦截杀毒软件dll蓝屏 哈哈哈
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
没有看懂。
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
老哥 这个分析的是什么工具啊,
|
能力值:
( LV8,RANK:130 )
|
-
-
20 楼
good
|
能力值:
( LV5,RANK:60 )
|
-
-
21 楼
以前在Sfilter框架下做过类似的功能,就相当于: FsRtlRegisterFileSystemFilterCallbacks时,指定Callbacks->PreAcquireForSectionSynchronization, 这里就可以对nt!NtCreateSection作拦截。只是FltMgr.sys在DriverEntry里面就注册了这样的回调,相当于对MiniFilter作了封装。 我空了再仔细逆向FltMgr.sys然后和Sfilter作个对比!感谢前辈分享!
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
explorer 返回这个值 也会有提示。
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
从dll本身入手,比如把dll的入口点给patch 这个讲讲?
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
mark~~
|
|
|