[原创]从内核层保护文件不被删除-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (37) ◀ 1 2
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 26 楼不对不对，inline hook过程不安全，hook fastfat和ntfs只替换指针却是安全的 2007-5-28 15:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 27 楼替换指针就安全，扯淡～～不会inline hook的自然不会安全～能稳定inline自然可以啊～ 2007-5-28 19:13 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 28 楼 Interlocked*** 就能安全 inline在4字节内也安全可是一般jmp都5字节，所以... /hotpatch多出来的代码就是这个理 2007-5-28 19:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 29 楼那是处理问题，安不安全就看谁来实现，没说过么:稳定性是重要的，至于怎么实现那是人的问题～ 2007-5-28 20:25 0
kagayaki 雪币： 1324 活跃值： (5179) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 30 楼好东西!!!! 2007-5-28 22:07 0
yuwgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	yuwgle 31 楼不大懂哎～慢慢学习 2007-5-29 00:21 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 32 楼俺考虑下是不是做数据恢复这一行，忽略你们～ 2007-5-29 00:48 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 33 楼用碎片整理程序整理一下ＬＺ的硬盘，不就全出来了嘛 2007-5-29 14:42 0
peilan 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 185 粉丝 0 关注私信	peilan 34 楼再再再底层就是发电厂了，我也见过！ 2007-8-25 11:37 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 35 楼挂过滤驱动不好些？ 2007-8-25 15:32 0
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 36 楼呵呵，兄台还没考虑别人不走磁盘设备的情况，直接IDE direct I/O呢，还有可以自己实现disk object然后进行删除，还有更恶心的就是直接修改MBR增加HPA,然后加入恶意代码format整个盘。inline iofcalldriver 的话我也实现过，不过效率和稳定性不敢恭维，尤其当有杀毒软件的时候。 2007-8-25 20:35 0
machoman 雪币： 228 活跃值： (119) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 214 粉丝 0 关注私信	machoman 1 37 楼直接修改MBR增加HPA, ___________________ 霍霍。。。。，你实现过了？ 2007-8-27 09:17 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 38 楼整个完整代码学习学习 2007-8-27 11:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (37) ◀ 1 2
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 26 楼不对不对，inline hook过程不安全，hook fastfat和ntfs只替换指针却是安全的 2007-5-28 15:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 27 楼替换指针就安全，扯淡～～不会inline hook的自然不会安全～能稳定inline自然可以啊～ 2007-5-28 19:13 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 28 楼 Interlocked*** 就能安全 inline在4字节内也安全可是一般jmp都5字节，所以... /hotpatch多出来的代码就是这个理 2007-5-28 19:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 29 楼那是处理问题，安不安全就看谁来实现，没说过么:稳定性是重要的，至于怎么实现那是人的问题～ 2007-5-28 20:25 0
kagayaki 雪币： 1324 活跃值： (5179) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 30 楼好东西!!!! 2007-5-28 22:07 0
yuwgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	yuwgle 31 楼不大懂哎～慢慢学习 2007-5-29 00:21 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 32 楼俺考虑下是不是做数据恢复这一行，忽略你们～ 2007-5-29 00:48 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 33 楼用碎片整理程序整理一下ＬＺ的硬盘，不就全出来了嘛 2007-5-29 14:42 0
peilan 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 185 粉丝 0 关注私信	peilan 34 楼再再再底层就是发电厂了，我也见过！ 2007-8-25 11:37 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 35 楼挂过滤驱动不好些？ 2007-8-25 15:32 0
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 36 楼呵呵，兄台还没考虑别人不走磁盘设备的情况，直接IDE direct I/O呢，还有可以自己实现disk object然后进行删除，还有更恶心的就是直接修改MBR增加HPA,然后加入恶意代码format整个盘。inline iofcalldriver 的话我也实现过，不过效率和稳定性不敢恭维，尤其当有杀毒软件的时候。 2007-8-25 20:35 0
machoman 雪币： 228 活跃值： (119) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 214 粉丝 0 关注私信	machoman 1 37 楼直接修改MBR增加HPA, ___________________ 霍霍。。。。，你实现过了？ 2007-8-27 09:17 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 38 楼整个完整代码学习学习 2007-8-27 11:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复