首页
社区
课程
招聘
[原创]第一题解决思路(今天才看到题)
2008-12-19 15:07 25510

[原创]第一题解决思路(今天才看到题)

2008-12-19 15:07
25510
说说我的思路不知道是否可以实现,从理论上讲可以。
winhex去写内容,mbrprot.sys,会去把以前的内容更改回去,或者压根就没有写进去(360是做这行的鼻祖)而返回了写入的结果,如果是这样的话,mbrprot.sys是个文件过滤驱动。现在咱们也可以去写个文件过滤驱动(参见楚狂人),过滤掉mbrprot.sys所有请求,对写磁盘的请求放行。
由于没有时间(刚才头儿还让写文档呢),思路也不完整,仅供参考。(我仅仅学了一点驱动的东西)

[培训]《安卓高级研修班(网课)》月薪三万计划

收藏
点赞0
打赏
分享
最新回复 (13)
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 9 2008-12-19 15:18
2
0
不是文件过滤驱动 呵呵
没有调查就没有发言权,我都说了
雪    币: 397
活跃值: (1770)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 1 2008-12-19 15:24
3
0
万物皆HOOK
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 9 2008-12-19 15:30
4
0
可惜第一题mbrprot不是HOOK
雪    币: 397
活跃值: (1770)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 1 2008-12-19 15:38
5
0
HOOK 范围很广,不光是传统意义上的,包括了任何改变系统流向的行为,可以为传统的HOOK,也可以包括FILTER ,CALL BACK ,创造假指针,假对象等等.
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 9 2008-12-19 15:39
6
0
恩,你也可以说文件过滤驱动也是HOOK,所有第三方程序都是对WINDOWS系统的HOOK~这没有关系~
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
vfer 2008-12-19 15:57
7
0
勇敢的把MJ的 东西 RE了
雪    币: 363
活跃值: (152)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
weolar 10 2008-12-19 18:08
8
0
老v都说了,直接硬盘io,然后重启~
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 9 2008-12-19 18:13
9
0
直接IO,重启,不得分
雪    币: 363
活跃值: (152)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
weolar 10 2008-12-19 18:25
10
0
嘿嘿~~我也是听老v说的。可以用机械狗发srb到atapi的代码么?
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 9 2008-12-19 18:36
11
0
老V只是YY而已~

光靠机器狗也过不了
雪    币: 363
活跃值: (152)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
weolar 10 2008-12-19 18:40
12
0
原来还有第二层保护啊,把1号扇区全填0 了吧……我其实很期待mj放出mbrprot的代码
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
vfer 2008-12-19 21:51
13
0
我有MJ的mbrport代码
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 9 2008-12-20 11:01
14
0
RE了的不叫代码~
游客
登录 | 注册 方可回帖
返回