设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 说说如何对付不断进行IRP HOOK的垃圾软件 ...
返回列表 发新帖
查看: 5305|回复: 8

说说如何对付不断进行IRP HOOK的垃圾软件

[复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2013-2-2 09:48:36 | 显示全部楼层 |阅读模式
首先看这个:Win7x64上突破雨过天晴20130111自我保护写入正常MBR
http://www.m5home.com/bbs/thread-7444-1-1.html

但我在上面没有提及的是,雨过天晴2013是一款十分恶心的软件,除了挂钩了DISK和ATAPI所有的IRP之外,还会不断检测自己的钩子有没有被恢复,如果发现钩子被恢复,就会重新挂钩,而且会结束恢复钩子的进程

所以衍生出一个问题:如何对付这种垃圾手段。以下分为两种情况讨论:IRP HOOK和IRP INLINE HOOK。
游客,如果您要查看本帖隐藏内容请回复
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

yxxxxxxx

0

主题

74

回帖

0

精华

铜牌会员

积分
105
发表于 2020-11-13 08:41:48 | 显示全部楼层
谢谢楼主
回复

举报

lpmjknj

3

主题

123

回帖

0

精华

铜牌会员

积分
292
发表于 2020-11-14 11:05:52 | 显示全部楼层
学习一下
回复

举报

caizhe666

1

主题

56

回帖

0

精华

初来乍到

积分
24
发表于 2020-11-22 11:04:26 | 显示全部楼层
我也在研究shadow defender的穿透,也遇到了这个问题。。。
回复

举报

a1678131758

0

主题

56

回帖

0

精华

铜牌会员

积分
77
发表于 2020-11-27 20:36:02 | 显示全部楼层
看看                  
回复

举报

kimjongun

0

主题

51

回帖

0

精华

铜牌会员

积分
60
发表于 2020-12-1 09:39:03 | 显示全部楼层
好好学习,天天向上。。。
回复

举报

omenfk

0

主题

32

回帖

0

精华

初来乍到

积分
23
发表于 2022-8-13 12:43:50 | 显示全部楼层
我来看看
回复

举报

sc12345

0

主题

103

回帖

0

精华

初来乍到

积分
3
发表于 2025-3-2 20:14:06 | 显示全部楼层
感谢分享
回复

举报

Cloutain

1

主题

123

回帖

0

精华

铜牌会员

积分
183
发表于 2025-3-3 09:35:36 | 显示全部楼层
老知识,新学习
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表