-
-
[原创]微点主动防御软件_逆向_idb
-
发表于: 2009-8-24 13:39
-
sudami
2009/08/24
--------------------------------------------------
"微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍. 在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!
从本资料中您可能获取到如下某些技巧:
btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件
相关参考:
[1] Bypass 微点主动防御软件
[2] 微点对MmLoadSystemImage的处理
[3] 微点在检测IFEO方面好脆弱
微点.IDB-new.090101.V 1.10026_sudami.rar (1.1 MB) | DownLoad
2009/08/24
--------------------------------------------------
"微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍. 在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!
从本资料中您可能获取到如下某些技巧:
1. 加密解密函数
2. IAT HOOK / EAT HOOK / 深度Call Hook / Inline Hook / (Shadow)SSDT Hook及其复杂的处理
3. 部分win32k.sys中的未公开结构及其微点对ShadowSSDT中为公开函数的引用/处理
(比如判断窗体的合法性,并进行可疑度打分)
4. 栈回溯的无所不用其极的极致发挥 / 栈劫持来回滚木马的危害行为
5. 自定义的结构体中的评分机制
6. 瞬间HOOK及其摘除Hook的技巧
7. 对远程线程注入的防范原理
8. 对驱动加载的拦截点及其原理
9. 一种巧妙的混淆IDA的花的运用
10. 驱动间的数据交互 / 内核DLL技术
11. 如何判断当前程序行为的可疑度
12. etc...
btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件
相关参考:
[1] Bypass 微点主动防御软件
[2] 微点对MmLoadSystemImage的处理
[3] 微点在检测IFEO方面好脆弱
微点.IDB-new.090101.V 1.10026_sudami.rar (1.1 MB) | DownLoad [注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
原来是新马甲。支持+顶。
|
|
|
|
|
|
学习```顶一个``
|
|
|
|
|
|
 没有吧~~~ |
|
|
强人呀
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
