紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 2677|回复: 8

说说如何对付不断进行IRP HOOK的垃圾软件

[复制链接]

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2013-2-2 09:48:36 | 显示全部楼层 |阅读模式
首先看这个:Win7x64上突破雨过天晴20130111自我保护写入正常MBR
http://www.m5home.com/bbs/thread-7444-1-1.html

但我在上面没有提及的是,雨过天晴2013是一款十分恶心的软件,除了挂钩了DISK和ATAPI所有的IRP之外,还会不断检测自己的钩子有没有被恢复,如果发现钩子被恢复,就会重新挂钩,而且会结束恢复钩子的进程

所以衍生出一个问题:如何对付这种垃圾手段。以下分为两种情况讨论:IRP HOOK和IRP INLINE HOOK。
游客,如果您要查看本帖隐藏内容请回复

5

主题

155

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
113
发表于 2020-10-20 00:41:03 | 显示全部楼层
学习

0

主题

74

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
105
发表于 2020-11-13 08:41:48 | 显示全部楼层
谢谢楼主

3

主题

116

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
282
发表于 2020-11-14 11:05:52 | 显示全部楼层
学习一下

1

主题

57

帖子

0

精华

初来乍到

Rank: 1

积分
24
发表于 2020-11-22 11:04:26 | 显示全部楼层
我也在研究shadow defender的穿透,也遇到了这个问题。。。

5

主题

155

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
113
发表于 2020-11-22 12:30:36 | 显示全部楼层
caizhe666 发表于 2020-11-22 11:04
我也在研究shadow defender的穿透,也遇到了这个问题。。。

不用擔心,除非您的目標是Windows <= 7,否則現在任何安全軟件或rootkit都不再練習內核掛鉤。

0

主题

56

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
77
发表于 2020-11-27 20:36:02 | 显示全部楼层
看看                  

0

主题

51

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
60
发表于 2020-12-1 09:39:03 | 显示全部楼层
好好学习,天天向上。。。

0

主题

26

帖子

0

精华

初来乍到

Rank: 1

积分
17
发表于 2022-8-13 12:43:50 | 显示全部楼层
我来看看
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-29 07:36 , Processed in 0.027216 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表