紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 3060|回复: 2

PowerTool v4.6的一个问题

[复制链接]

76

主题

267

帖子

9

精华

贵宾会员

Rank: 2Rank: 2

积分
15599
发表于 2015-10-2 04:57:25 | 显示全部楼层 |阅读模式
记得之前曾有个文章叫《Ring3下阻止ARK启动》,2010年黑客防线的文章,讲的是用替换内核文件的方式禁止ARK读内核文件。
看了这篇文章于是我也起劲了,动手写了个Inline Hook IopCreateFile的东东,加载驱动后,对各大知名ARK的影响:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 无法启动
PowerTool v4.6 - 无法访问SSDT,IDT等,不能枚举EAT Hook,若禁止读win32k.sys则无法访问Shadow SSDT
wsyscheck v1.68 - 无法启动
WTool v2.6 - SSDT项取得的都是些乱七八糟的地址,还有这玩意知名吗。。。
如若挂钩NtCreateFile,效果如下:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 没影响
PowerTool v4.6 - 没影响
wsyscheck v1.68 - 无法启动
WTool v2.6 - 没影响
现在主流的两个ARK就属PCHunter和PowerTool,此文中提及的东西用途很明显,只要利用Inline Hook IopCreateFile禁止多个内核文件
比如ntfs.sys,win32k.sys,ntkrnlpa.exe,fastfat.sys,disk.sys,atapi.sys,acpi.sys,hal.dll这类的,即可使得PowerTool在检测内核上面彻底废掉

30

主题

723

帖子

0

精华

钻石会员

Rank: 6Rank: 6

积分
2815
发表于 2015-10-2 10:26:05 | 显示全部楼层
您是想说PowerTool废掉了吗

0

主题

62

帖子

0

精华

铂金会员

Rank: 5

积分
2136
发表于 2016-6-19 22:49:45 | 显示全部楼层
到底谁好呢?
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-28 22:55 , Processed in 0.023964 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表