能力值:
( LV12,RANK:600 )
|
-
-
2 楼
ZwQueryVirtualMemory在ring3很容易被XXX..比如简单的HOOK就失效...不过目前这种办法还是不错的...绕过办法可以参考小伟的文章...不过yas anti rootkit不存在这个问题,至少能得到一个加载地址.. .
|
能力值:
( LV9,RANK:610 )
|
-
-
3 楼
Hook内存管理可以绕过yaskit吗?另外,Yaskit的ObjectHook好像只检测文件和注册表部分的?
|
能力值:
( LV12,RANK:600 )
|
-
-
4 楼
Hook内存管理可以绕过yaskit吗?? 你是说隐藏内存???
如果隐藏内存是可以的..因为yaskit枚举DLL就是在内存找相关结构的...
|
能力值:
( LV9,RANK:610 )
|
-
-
5 楼
恩,我说的就是隐藏内存。不过应该也可以DKOM让进程中dll占用的内存看起来不像是一个可执行的映像
|
能力值:
( LV9,RANK:610 )
|
-
-
6 楼
还可以加上暴力枚举PE部分,我以前写的那个程序拿gmer实验时,把gmer自己加载的ntoskrnl都给找出来了~~不过对抗暴力也很容易啊~
|
能力值:
( LV12,RANK:760 )
|
-
-
7 楼
用notify+overshadow就行了~~
没有一点hook,VMM技术保护内核某些内存不可写,notify记录加载的DLL~~
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
牛太多了,只能潜
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
to nObele:
我在你的冰刃源代码上单击了鼠标.
但那似乎不是源代码的链接.
期待你上传这个东西.
注:如果不是masm的就算了.
|
能力值:
(RANK:1130 )
|
-
-
10 楼
不支持动态卷,不支持映射驱动器
|
能力值:
( LV12,RANK:300 )
|
-
-
11 楼
这个W3是加上去想使使有没有效果,试后忘了删掉
那几行include和.mode的确应该删,因为masm32rt.inc已经有包含了,如果不删会报warning
开始的时候我是删掉的,不过后来想写进去也没啥,如果为了不报warning,就应该删掉。
至于那英文,当时都凌晨了,头脑昏昏的,没注意语法语义,反正就那意思
|
能力值:
( LV12,RANK:300 )
|
-
-
12 楼
这个是在识别盘符的时候偷懒了。因为主要是演示ZwQueryVirtualMemory,怎么正确识别盘符我还要自己再想想
|
能力值:
( LV12,RANK:300 )
|
-
-
13 楼
更新了一下,解决这个问题
貌似KsBinSword里没解决?
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
楼主也没解决,你试试运行个网络路径的程序,或者是VMWARE共享目录下的文件,又或者在LOCAL下挂载个盘符,你看你还能解析得出来么?呵呵!
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
另外,判断是否镜像模块应判顿其是否是SEC_IMAGE,具体参考冰刃源代码
|
能力值:
( LV12,RANK:300 )
|
-
-
16 楼
呃,没有测试过这种情况,只做了有映射到A-Z盘符的
SEC_IMAGE这个知道,但是如果不是SEC_IMAGE的,ZwQueryVirtualMemory(MemorySectionName)会返回文件名吗?我不太确定,如果不会,那实际上就等于自动排除了不是SEC_IMAGE的情况。
另外,冰刃有源代码?
|
能力值:
( LV12,RANK:300 )
|
-
-
17 楼
这次不偷懒了,取系统所有的DOS符号设备去做对比,应该不止A-Z盘,其他的也可以出来了,不过没有测试过,不知道效果怎么样啊。
Ring0有Rtl(Io)VolumeDeviceToDosName可以用,Ring3下只能倒过来使,比较累
另外SEC_IMAGE也试了,如果加上这个判断,nls文件就不会出来了(发的程序中这个判断注释掉了)。
|
能力值:
( LV12,RANK:420 )
|
-
-
18 楼
VolumeDeviceToDosName并不好用
另外你这个网络路径和VMWARE的共享目录也不行
|
能力值:
( LV12,RANK:300 )
|
-
-
19 楼
看了wrk,IoVolumeDeviceToDosName的原理好像是向Device发IRP的,我不太了解这个,不太清楚适用范围有多大。
网络路径和VMWARE共享目录我还是不明白怎么做的
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
给楼主推荐个VC++源码.有空翻译成masm32.呵呵
|
|
|