TP的学习笔记：改进ak922.sys的挂钩方式并隐藏文件

tangptr@126.com · 发表于 2016-1-8 03:14:17

本帖最后由 tangptr@126.com 于 2016-1-8 03:16 编辑

游客，如果您要查看本帖隐藏内容请回复

Tesla.Angela · 发表于 2016-1-8 08:19:02

最流氓的方法：不准读取NTOSKRNL.EXE（把返回的文件数据全部改为0）。

163xlt · 发表于 2016-1-8 10:34:52

多谢楼主分享看看

284406022 · 发表于 2016-1-8 10:48:09

ak922?不知道是什么软件的驱动？

tangptr@126.com · 发表于 2016-1-8 16:26:59

284406022 发表于 2016-1-8 10:48
ak922?不知道是什么软件的驱动？

一个Rootkit的驱动

tangptr@126.com · 发表于 2016-1-19 12:28:52

用了push xxxxxxxx ret的方式挂钩了IofCompleteRequest一下。。。虽然成功隐藏了文件，但是当我打开IceLight和wsyscheck的时候竟然发生了蓝屏，堆栈坏了。。。。。。

safeho · 发表于 2016-1-19 19:49:04

多谢楼主分享!

菜鸟痕迹 · 发表于 2016-1-25 20:14:56

看看，学习一下，谢谢楼主

软绵绵 · 发表于 2016-1-25 22:06:25

多谢楼主分享看看

mutou · 发表于 2016-3-14 14:42:54

看看看看看

帐号		自动登录	找回密码
密码			加入我们