超级无敌函数ntSystemDebugControl
据说,貌似,可能这个函数超级强大,可以直接读写物理内存,直接IO端口,利用这些功能,可以做几乎所有驱动可以做的事
不过貌似这个函数被垃圾360给hook了 http://www.xfocus.net/articles/200408/721.html
这个函数的一些分析 回复 2# 364589886
看来大家都还在进步中
360是什么时候HOOK它的?我看那个文章是04年的.
如果360是最近才HOOK它的,则360吸收的人才要么进步慢了,要么是这个改动前才吸收的相关人才.
以前360不是把狙剑都给收了嘛. 这函数,早就被用烂了。 好象它不能写ShadowSSDT 回复 4# 马大哈
是把狙剑收了
所以,360的特色就是挂钩!
挂钩太邪恶了。。。。。要是走这种野路子,多了去了
不过一个原则是,有正统方法的,尽量不用野路子,除非实在没办法了
但是那些诸如狙剑作者之类的,就是喜欢走这些野路子。。。。很不爽 回复 6# HeavenSea
拿这个函数在ring0安装一个中断门或者调用门之类的东西进ring0,还有啥不能做的? 回复马大哈
是把狙剑收了
所以,360的特色就是挂钩!
挂钩太邪恶了。。。。。要是走这 ...
364589886 发表于 2010-6-28 14:15 http://www.m5home.com/bbs/images/common/back.gif
很赞同!这就是垃圾360的强项!
而且,技术垃圾的360还流氓透顶!看老马博客:http://www.m5home.com/blog/article.asp?id=447 回复HeavenSea
拿这个函数在ring0安装一个中断门或者调用门之类的东西进ring0,还有啥不能做的 ...
364589886 发表于 2010-6-28 14:17 http://www.m5home.com/bbs/images/common/back.gif
其实这东西能在R3 Read/Modify Kernel Memory,可惜只能在XP下使用,全补丁的XP-SP3也不能用。 回复 7# 364589886
但是有些功能也确实非要这么搞才行貌似....
昨天和陈辉讨论了一下,说是有些效果如果使用正规的手法很难或无法做到,就没办法了...... 回复 10# 乔丹二世
挺强的一个东东,所以一定要封掉,哈哈.
就像98里面能直接读内核一样,封死封死!:lol 回复364589886
但是有些功能也确实非要这么搞才行貌似....
昨天和陈辉讨论了一下,说是有些效果如果 ...
马大哈 发表于 2010-6-28 17:37 http://www.m5home.com/bbs/images/common/back.gif
怎么陈辉不来紫水晶的“系统底层访问”区呢? 他啊,最近网都上得比较少,貌似工作很忙 1.丧六零貌似只Hook了KiFastCallEntry
2.这个函数只能在XpSp3以前版本使用,不含XpSp3. 1.丧六零貌似只Hook了KiFastCallEntry
2.这个函数只能在XpSp3以前版本使用,不含XpSp3.
xiaoly99 发表于 2010-8-3 16:36 http://www.m5home.com/bbs/images/common/back.gif
这个函数貌似跟哪个XP版本无关,只跟某个补丁有关。 楼上貌似研究很透彻!~ 恶心的360
页:
[1]