论坛广场 › WINDOWS核心编程 › 一个阻止ARK启动的方法：独占访问内核文件

Tesla.Angela 发表于 2012-1-18 18:08:02

一个阻止ARK启动的方法：独占访问内核文件

首先说明，此帖是炒冷饭，这个方法我貌似09年就在**Good论坛上说过了。
最近在温习WIN32内核，测试了一下目前国内流行两个的ARK：PT和XT，发现依然有效。
对付国外的ARK，基本无效，看来外国人已经意识到了。。。**** Hidden Message *****我的建议是用保险方法（发送IRP或者自行解析磁盘）把这两个内核文件复制一次，然后再读取相应的数据。

乔丹二世 发表于 2012-1-19 14:10:52

发送IRP读文件还是不保险，只有自行解析磁盘才保险。

ithurricane 发表于 2012-1-20 23:07:11

x64asm 发表于 2012-1-21 18:43:26

发送IRP读文件还是不保险，只有自行解析磁盘才保险。

要说可靠，发送FIS数据包，通过AHCI读取最可靠。

Tesla.Angela 发表于 2012-1-21 19:26:00

x64asm 发表于 2012-1-21 18:43 static/image/common/back.gif
发送IRP读文件还是不保险，只有自行解析磁盘才保险。

要说可靠，发送FIS数据包，通过AHCI读取最可靠。 ...

话说，我的硬盘用的还是兼容（IDE）模式，没用AHCI模式。。。

Tesla.Angela 发表于 2012-1-22 07:13:48

sb666 发表于 2012-1-21 21:51 static/image/common/back.gif
都不保险……要是我用静态hook呢？
最保险的方法是从服务器下载内核文件……
至于通信……就用硬件方法吧… ...

啥叫“静态HOOK”呢？
直接修改NTOS文件的内容？

yxd199512041 发表于 2012-1-22 16:46:19

see

iloveqqp 发表于 2012-1-23 14:57:37

學習下謝謝LZ

Tesla.Angela 发表于 2012-1-23 23:44:08

sb666 发表于 2012-1-21 21:51 static/image/common/back.gif
都不保险……要是我用静态hook呢？
最保险的方法是从服务器下载内核文件……
至于通信……就用硬件方法吧… ...

不好意思，我真的没有见过这种方法，能给个BIN否，或者告诉我什么东西用了这种方法。。。

x64asm 发表于 2012-1-24 17:20:35

最保险的方法是从服务器下载内核文件……

XP WIN7无数个补丁，不知道多少个版本的NTOSKRNL.EXE
显然不可取

yxd199512041 发表于 2012-1-25 12:11:34

顺便问下国外有没有win7 64位ARK可用?

Tesla.Angela 发表于 2012-1-25 14:07:19

yxd199512041 发表于 2012-1-25 12:11 static/image/common/back.gif
顺便问下国外有没有win7 64位ARK可用?

好象是没有的。
我把WIN64AST的源码给了PT的作者，你等待他过完年后出X64ARK吧。

dico 发表于 2012-1-25 16:41:50

哇，那终于快要看到64位下的ARK啦！不知道XT什么时候能支持

F0-0 发表于 2012-3-4 19:31:40

kanakn

神奇的魔方 发表于 2012-3-24 01:04:38

学习一下....

wszjljx 发表于 2012-3-25 22:45:36

下来看看 试试看XueTr能不能阻止

watchsky 发表于 2012-4-30 22:21:19

see

diddom 发表于 2012-5-9 17:53:50

学习学习~

Lgc小孩修电脑 发表于 2012-6-30 16:58:23

kankan

Xor 发表于 2012-7-1 11:52:53

看一看

Xor 发表于 2012-7-1 11:55:20

Tesla.Angela 发表于 2012-1-23 23:44 static/image/common/back.gif
不好意思，我真的没有见过这种方法，能给个BIN否，或者告诉我什么东西用了这种方法。。。 ...

静态hook应该就是直接在内核里改流程，貌似可以过PatchGuard吧。

Xor 发表于 2012-7-1 11:56:51

Tesla.Angela 发表于 2012-1-25 14:07 static/image/common/back.gif
好象是没有的。
我把WIN64AST的源码给了PT的作者，你等待他过完年后出X64ARK吧。 ...

PT是什么？

wsnhyjj 发表于 2012-8-8 16:39:25

回复查看

viphack 发表于 2016-4-21 23:41:30

啥安抚

kz丶cn 发表于 2016-5-23 21:32:56

文件占坑可以使用关闭句柄的方法过掉？

350640068 发表于 2018-2-3 10:00:19

12312zxcxzcxzc

sc12345 发表于 2018-4-7 19:44:47

谢谢楼主分享

a1678131758 发表于 2020-11-6 10:10:18

看下      

Sumail1999 发表于 2020-11-6 11:46:24

学习知识

kimjongun 发表于 2020-11-6 16:39:45

好好学习，天天向上//。

Henry 发表于 2021-7-2 18:55:24

学习了，楼主最帅！

Cloutain 发表于 2021-8-18 09:20:34

最近看PCHunter代码的时候，怪不得扫描钩子会用到NTFS函数，莫非是这个原因

查看完整版本: 一个阻止ARK启动的方法：独占访问内核文件