设为首页收藏本站
开启辅助访问 切换到宽版

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 说说如何对付不断进行IRP HOOK的垃圾软件 ...
返回列表 发新帖
查看: 332|回复: 7

说说如何对付不断进行IRP HOOK的垃圾软件

[复制链接]
Tesla.Angela

824

主题

3388

帖子

2

精华

管理员

身居欧盟,心系中华。

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36201
发表于 2013-2-2 09:48:36 | 显示全部楼层 |阅读模式
首先看这个:Win7x64上突破雨过天晴20130111自我保护写入正常MBR
http://www.m5home.com/bbs/thread-7444-1-1.html

但我在上面没有提及的是,雨过天晴2013是一款十分恶心的软件,除了挂钩了DISK和ATAPI所有的IRP之外,还会不断检测自己的钩子有没有被恢复,如果发现钩子被恢复,就会重新挂钩,而且会结束恢复钩子的进程

所以衍生出一个问题:如何对付这种垃圾手段。以下分为两种情况讨论:IRP HOOK和IRP INLINE HOOK。
游客,如果您要查看本帖隐藏内容请回复
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

Krueger

3

主题

76

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
138
发表于 2020-10-20 00:41:03 | 显示全部楼层
学习
回复

举报

yxxxxxxx

0

主题

71

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
102
发表于 2020-11-13 08:41:48 | 显示全部楼层
谢谢楼主
回复

举报

lpmjknj

2

主题

80

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
245
发表于 2020-11-14 11:05:52 | 显示全部楼层
学习一下
回复

举报

caizhe666

0

主题

36

帖子

0

精华

初来乍到

Rank: 1

积分
2
发表于 2020-11-22 11:04:26 | 显示全部楼层
我也在研究shadow defender的穿透,也遇到了这个问题。。。
回复 支持 反对

举报

Krueger

3

主题

76

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
138
发表于 2020-11-22 12:30:36 | 显示全部楼层
caizhe666 发表于 2020-11-22 11:04
我也在研究shadow defender的穿透,也遇到了这个问题。。。

不用擔心,除非您的目標是Windows <= 7,否則現在任何安全軟件或rootkit都不再練習內核掛鉤。
回复 支持 反对

举报

a1678131758

0

主题

38

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
71
发表于 2020-11-27 20:36:02 | 显示全部楼层
看看                  
回复 支持 反对

举报

kimjongun

0

主题

44

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
53
发表于 2020-12-1 09:39:03 | 显示全部楼层
好好学习,天天向上。。。
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2021-1-17 16:45 , Processed in 0.034086 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表