[讨论]内核函数挂钩技术该如何应对Vista的Patch Guard呢？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼关注此问题！我上次的一个Inline IopCreateFile程序在Vista下也很正常啊，不了解… 2009-1-9 08:14 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 3 楼谁说失效？照样HOOK。。。 2009-1-9 10:19 0
abincn 雪币： 264 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	abincn 4 楼 [QUOTE=;]...[/QUOTE] 牛牛们继续讨论，搬张板凳听课 2009-1-9 10:51 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 5 楼对了，我差点忘了，PatchGuard的能力是从64位的操作系统平台上才开始引入的。而且，PatchGuard当中防止inline hook对内核的更改这一块，还非得在AMD64的CPU平台上才可以被检测出来。不过毕竟是一道关卡啊！到底怎么过呢？毕竟64位的操作系统用的人会越来越多了，这是以后必须要面对的问题！而64位的CPU，到底是用INTEL的人多还是用AMD的人多，我曾经在ZOL论坛上发了个帖调查，感觉也没有什么结果。根据微软的情况，没有在32位加入PatchGuard的主要原因也是为了考虑兼容，但64位开始加入PatchGuard而且是在内核级别加入的，说明微软开始逐渐收回对内核的控制能力。把软件开发人员往应用层和业务层上赶了。 2009-1-14 02:53 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 6 楼早就有大牛bypass了，网上也有资料。 2009-1-14 08:51 0
neworld 雪币： 209 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	neworld 7 楼努力赶啊,大家都回到应用层就又和谐了很多杀毒软件,反木马程序,游戏公司也跟着倒霉了..... 如果没赶出来被人拿来对付MS的技术自然也会贫民化,其实也是这个帖子产生的原因吧?... 很多人感兴趣的东西吗,好像六楼说,似乎已经贫民化了. 2009-1-14 11:31 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 8 楼实践证明你可以disable PatchGuard 可以去看看国外的文章，偶印象是杀掉一个啥dpc过程 2009-1-14 11:58 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼用object hijack 2009-1-14 13:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼关注此问题！我上次的一个Inline IopCreateFile程序在Vista下也很正常啊，不了解… 2009-1-9 08:14 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 3 楼谁说失效？照样HOOK。。。 2009-1-9 10:19 0
abincn 雪币： 264 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	abincn 4 楼 [QUOTE=;]...[/QUOTE] 牛牛们继续讨论，搬张板凳听课 2009-1-9 10:51 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 5 楼对了，我差点忘了，PatchGuard的能力是从64位的操作系统平台上才开始引入的。而且，PatchGuard当中防止inline hook对内核的更改这一块，还非得在AMD64的CPU平台上才可以被检测出来。不过毕竟是一道关卡啊！到底怎么过呢？毕竟64位的操作系统用的人会越来越多了，这是以后必须要面对的问题！而64位的CPU，到底是用INTEL的人多还是用AMD的人多，我曾经在ZOL论坛上发了个帖调查，感觉也没有什么结果。根据微软的情况，没有在32位加入PatchGuard的主要原因也是为了考虑兼容，但64位开始加入PatchGuard而且是在内核级别加入的，说明微软开始逐渐收回对内核的控制能力。把软件开发人员往应用层和业务层上赶了。 2009-1-14 02:53 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 6 楼早就有大牛bypass了，网上也有资料。 2009-1-14 08:51 0
neworld 雪币： 209 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	neworld 7 楼努力赶啊,大家都回到应用层就又和谐了很多杀毒软件,反木马程序,游戏公司也跟着倒霉了..... 如果没赶出来被人拿来对付MS的技术自然也会贫民化,其实也是这个帖子产生的原因吧?... 很多人感兴趣的东西吗,好像六楼说,似乎已经贫民化了. 2009-1-14 11:31 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 8 楼实践证明你可以disable PatchGuard 可以去看看国外的文章，偶印象是杀掉一个啥dpc过程 2009-1-14 11:58 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼用object hijack 2009-1-14 13:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复