首页
社区
课程
招聘
[讨论]驱动的加载 - 如何绕过主动防卸
发表于: 2008-11-9 20:11 18059

[讨论]驱动的加载 - 如何绕过主动防卸

2008-11-9 20:11
18059
NT式驱动程序, 平常的(也就是你能在正规书本上看到的)加载方法, 就是OpenSCManager、CreateService、OpenService、StartService;

偏门一点的,来自很古老的书《ROOTKITS - windows内核的安全防护》里说过一种方法,system load and call image,不过我随便试了一下没成功(要研究一下);

杀毒软件,终于认真对待驱动这样东西了;较新点的杀毒软件,主动防御系统都把加载驱动纳入了监视范围;

大家讨论一下如何绕过主动防御来加载驱动(替换文件的方法不算);

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (47)
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
2
不告诉你.也不必讨论.
知道的人肯定不会把方法说出来,不知道的人只能意淫.

做点正规的东西多好,天天想着歪门邪道.

fuck
2008-11-9 20:15
0
雪    币: 3
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
就你这素质,整天动不动就fuck来fuck去,fuck你妈啊?

有对弈,才有进步;照你这样说,凡是对杀毒软件不利的技术,一律都应该停止?那么那些工程师门整天上网玩游戏去了,整天不思进取;
2008-11-9 20:29
0
雪    币: 3
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
sudami, 刚查了你发的贴, 发现你发的贴子全是什么内核注入DLL, 干掉杀毒软件,驱动感染, ....  你竟然还在这里厚颜无耻地说: 做点正规的东西多好,天天想着歪门邪道. , 你是不是精神错乱了?
2008-11-9 20:36
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
5
我还是把 SB 2个字去掉吧, 不骂你了,没意思.

继续学习去咯~~
2008-11-9 20:38
0
雪    币: 331
活跃值: (57)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
《ROOTKITS - windows内核的安全防护》有段例子代码就是非常规载入,我试过可以的,我忘了是哪个例子……
2008-11-10 09:47
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
原来论坛里是可以骂人的啊
2008-11-10 10:29
0
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
sudami确实过分了...
2008-11-10 12:55
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
system load and call image我前几天试过了。。。。按QIQI大大的说法是要自己开辟一个不分页内存空间把代码copy进去,然后代码重定向,可以成功的,不过相当不稳定,很容易蓝。。可能是咱自己的问题
2008-11-10 13:50
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
10
大家来打击我吧.嘿嘿,我很贱,而且越是被打击,学习效率越高.
2008-11-10 14:28
0
雪    币: 342
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
sudami在我心里相当有地位,他的大部分帖我都看过
他的帖不太合初学者看的,因为他没有给出完整的代码
这对我们初学者是相当的打击,他的帖最合有一定水平的人看
而有一定水平的人呢又相互保留,谈不上互相学习,多数是自已研究
他有很多技术性的研究,sudami每学到新的技术时就会把快要过时的技术发一帖
让我们去模拜一下。

性格上我不喜欢他,技术上我也不喜他
但有一种我喜欢,就是我们是初学者,只有他会看我们发的帖,也会说上一二句
起码他会关注我们这些初学者,就这点我们得感谢他。

LZ要是想要另外的加载驱动源码,在看雪搜一下,会找到的,要是找不到你联系我

我会跟着学习sudami老的技术,他发的文章以前看不懂,现在能看懂些了。他没完整的代码
我尽量去补完。
2008-11-10 15:14
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
12
该不明白的,给源码也不明白。当然拿着做坏事倒是可以的
2008-11-10 15:32
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
13
beep,beep~~~
null,null~~~
pagefile.sys,pagefile.sys
ntXX.sys,ntXX.sys
win32k.sys win32k.sys~~
loadXX
patch routine XXX fuck
dod xxx
ring0 exploit
XXXXX
GDIPlusDrv~~~
NV显卡增强DLL~~
ATI外挂模块接口~~
XXXXXX~~~
方法太多~~
仅为提示,具体 10W USD奉上,马上告诉你~
2008-11-10 15:39
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
14
老V大放血啊~
2008-11-10 15:51
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
15
大米的能力毋庸置疑,而且这确实也不是什么光明正大的话题。另外一点,不同产品的主动防御实现方法都有所不同,即便是忽悠过了现有的,出个专杀也不是什么不可能实现的任务。有时间浪费在写病毒上不如去干点合法的事情,不然也许有一天一不留神也把自己送进去了。
2008-11-10 16:28
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
16
此帖因为某某原因,很火很强大~~~~~

VXK又开始意淫了啊~~~~~~~
2008-11-10 17:29
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
17
有时候啊,我就在想:
      比起那些在网上抄资料,然后七拼八凑拿到<黑客防线>骗稿费的, 我们这些菜鸟在kanxue大家庭里发点原创技术文章,还是比较厚道的.
      无论是邪恶的啊,还是正规的啊,都是思路在这,点到即可,怕是被流氓们直接A走了,就祸害大了.. 但像此帖的问题,明显找骂呀,谁会告诉你过主防的思路 or 代码?人家是吃多了撑着了,还是装B没装够呢? 坏人自己留一手,做木马病毒就能 10万/月; 好人留一手,防止木马祸害大众, 告诉你干么?
   做坏事还明目张胆, 我靠,很挫很强大~~~~~
2008-11-10 17:40
0
雪    币: 111
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
这是我在看雪看过的火药味最浓的一贴~~!!!!
2008-11-10 17:49
0
雪    币: 282
活跃值: (31)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
19
楼上的哪个是大米?
大米应该是dummy
2008-11-10 17:50
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
20
LS的在讨论边缘问题....
2008-11-10 17:53
0
雪    币: 282
活跃值: (31)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
21
LS的应该叫“数大米”
2008-11-10 17:54
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
22
恩,就是说数大米,呵呵
2008-11-10 17:56
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
23
14是14,40是40
"伞" 念 "san", "闪" 念 "shan"
.
.
.
"su" 念 "素', "shu" 念 ""
2008-11-10 18:00
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
24
知道了,是素大米不是荤大米
2008-11-10 18:02
0
雪    币: 220
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
惊讶!看雪论坛可是交流学习的地方啊
2008-11-10 18:08
0
游客
登录 | 注册 方可回帖
返回
//