设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 一个阻止ARK启动的方法:独占访问内核文件 ...
12下一页
返回列表 发新帖
查看: 24878|回复: 33

一个阻止ARK启动的方法:独占访问内核文件

 火... [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2012-1-18 18:08:02 | 显示全部楼层 |阅读模式
首先说明,此帖是炒冷饭,这个方法我貌似09年就在**Good论坛上说过了。
最近在温习WIN32内核,测试了一下目前国内流行两个的ARK:PT和XT,发现依然有效。
对付国外的ARK,基本无效,看来外国人已经意识到了。。。
游客,如果您要查看本帖隐藏内容请回复
我的建议是用保险方法(发送IRP或者自行解析磁盘)把这两个内核文件复制一次,然后再读取相应的数据。

相关帖子

我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

乔丹二世

280

主题

203

回帖

0

精华

版主

积分
1808
发表于 2012-1-19 14:10:52 | 显示全部楼层
发送IRP读文件还是不保险,只有自行解析磁盘才保险。
回复

举报

ithurricane
头像被屏蔽

3

主题

35

回帖

3

精华

铂金会员

积分
4902
发表于 2012-1-20 23:07:11 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

x64asm

1

主题

39

回帖

0

精华

铜牌会员

积分
299
发表于 2012-1-21 18:43:26 | 显示全部楼层
发送IRP读文件还是不保险,只有自行解析磁盘才保险。

要说可靠,发送FIS数据包,通过AHCI读取最可靠。
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2012-1-21 19:26:00 | 显示全部楼层
x64asm 发表于 2012-1-21 18:43
发送IRP读文件还是不保险,只有自行解析磁盘才保险。

要说可靠,发送FIS数据包,通过AHCI读取最可靠。 ...

话说,我的硬盘用的还是兼容(IDE)模式,没用AHCI模式。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2012-1-22 07:13:48 | 显示全部楼层
sb666 发表于 2012-1-21 21:51
都不保险……要是我用静态hook呢?
最保险的方法是从服务器下载内核文件……
至于通信……就用硬件方法吧… ...


啥叫“静态HOOK”呢?
直接修改NTOS文件的内容?
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

yxd199512041

71

主题

350

回帖

2

精华

钻石会员

积分
4123
发表于 2012-1-22 16:46:19 | 显示全部楼层
see
回复

举报

iloveqqp

0

主题

126

回帖

0

精华

铜牌会员

积分
226
发表于 2012-1-23 14:57:37 | 显示全部楼层
學習下  謝謝LZ
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2012-1-23 23:44:08 | 显示全部楼层
sb666 发表于 2012-1-21 21:51
都不保险……要是我用静态hook呢?
最保险的方法是从服务器下载内核文件……
至于通信……就用硬件方法吧… ...


不好意思,我真的没有见过这种方法,能给个BIN否,或者告诉我什么东西用了这种方法。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

x64asm

1

主题

39

回帖

0

精华

铜牌会员

积分
299
发表于 2012-1-24 17:20:35 | 显示全部楼层
最保险的方法是从服务器下载内核文件……

XP WIN7无数个补丁,不知道多少个版本的NTOSKRNL.EXE
显然不可取
回复

举报

yxd199512041

71

主题

350

回帖

2

精华

钻石会员

积分
4123
发表于 2012-1-25 12:11:34 | 显示全部楼层
顺便问下国外有没有win7 64位ARK可用?
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2012-1-25 14:07:19 | 显示全部楼层
yxd199512041 发表于 2012-1-25 12:11
顺便问下国外有没有win7 64位ARK可用?

好象是没有的。
我把WIN64AST的源码给了PT的作者,你等待他过完年后出X64ARK吧。

评分

参与人数 1水晶币 +10 收起 理由
yxd199512041 + 10 期待ing

查看全部评分

我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

dico

2

主题

72

回帖

0

精华

银牌会员

积分
597
发表于 2012-1-25 16:41:50 | 显示全部楼层
哇,那终于快要看到64位下的ARK啦!不知道XT什么时候能支持
回复

举报

F0-0

0

主题

42

回帖

0

精华

铜牌会员

积分
140
发表于 2012-3-4 19:31:40 | 显示全部楼层
kanakn
回复

举报

神奇的魔方

0

主题

13

回帖

0

精华

铜牌会员

积分
48
发表于 2012-3-24 01:04:38 | 显示全部楼层
学习一下....
回复

举报

wszjljx

21

主题

162

回帖

4

精华

论坛元老

Tokyo-Hot

积分
5945
QQ
发表于 2012-3-25 22:45:36 | 显示全部楼层
下来看看 试试看XueTr能不能阻止
洗澡脱光衣服打开水才发现自己没带洗发水没带沐浴乳只带了一包洗衣粉 心酸的用洗衣粉把自己搓了一遍... ...
回复

举报

watchsky

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2012-4-30 22:21:19 | 显示全部楼层
see
回复

举报

diddom

96

主题

158

回帖

4

精华

核心会员

积分
6513
发表于 2012-5-9 17:53:50 | 显示全部楼层
学习学习~
回复

举报

Lgc小孩修电脑

5

主题

47

回帖

0

精华

铜牌会员

积分
210
发表于 2012-6-30 16:58:23 | 显示全部楼层
kankan
回复

举报

Xor

40

主题

324

回帖

0

精华

铂金会员

Eax=0

积分
1575
发表于 2012-7-1 11:52:53 | 显示全部楼层
看一看
Do my best.
回复

举报

Xor

40

主题

324

回帖

0

精华

铂金会员

Eax=0

积分
1575
发表于 2012-7-1 11:55:20 | 显示全部楼层
Tesla.Angela 发表于 2012-1-23 23:44
不好意思,我真的没有见过这种方法,能给个BIN否,或者告诉我什么东西用了这种方法。。。 ...

静态hook应该就是直接在内核里改流程,貌似可以过PatchGuard吧。
Do my best.
回复

举报

Xor

40

主题

324

回帖

0

精华

铂金会员

Eax=0

积分
1575
发表于 2012-7-1 11:56:51 | 显示全部楼层
Tesla.Angela 发表于 2012-1-25 14:07
好象是没有的。
我把WIN64AST的源码给了PT的作者,你等待他过完年后出X64ARK吧。 ...

PT是什么?
Do my best.
回复

举报

wsnhyjj

0

主题

46

回帖

0

精华

银牌会员

积分
344
发表于 2012-8-8 16:39:25 | 显示全部楼层
回复查看
回复

举报

viphack

0

主题

40

回帖

0

精华

铜牌会员

积分
96
发表于 2016-4-21 23:41:30 | 显示全部楼层
啥安抚
回复

举报

kz丶cn

4

主题

145

回帖

0

精华

金牌会员

积分
1189
发表于 2016-5-23 21:32:56 | 显示全部楼层
文件占坑可以使用关闭句柄的方法过掉?
回复

举报

350640068

0

主题

11

回帖

0

精华

金牌会员

积分
1039
发表于 2018-2-3 10:00:19 | 显示全部楼层
12312zxcxzcxzc
回复

举报

sc12345

0

主题

103

回帖

0

精华

初来乍到

积分
3
发表于 2018-4-7 19:44:47 | 显示全部楼层
谢谢楼主分享
回复

举报

a1678131758

0

主题

56

回帖

0

精华

铜牌会员

积分
77
发表于 2020-11-6 10:10:18 | 显示全部楼层
看下      
回复

举报

Sumail1999

0

主题

48

回帖

0

精华

初来乍到

积分
22
发表于 2020-11-6 11:46:24 | 显示全部楼层
学习知识
回复

举报

kimjongun

0

主题

51

回帖

0

精华

铜牌会员

积分
60
发表于 2020-11-6 16:39:45 | 显示全部楼层
好好学习,天天向上//。
回复

举报

Henry

0

主题

51

回帖

0

精华

银牌会员

积分
579
发表于 2021-7-2 18:55:24 | 显示全部楼层
学习了,楼主最帅!
回复

举报

Cloutain

1

主题

122

回帖

0

精华

铜牌会员

积分
182
发表于 2021-8-18 09:20:34 | 显示全部楼层
最近看PCHunter代码的时候,怪不得扫描钩子会用到NTFS函数,莫非是这个原因
回复

举报

12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表