关于过AK922的文件隐藏
今天无意中发现AK922这个这么老的RKD竟然能过PT 4.2和XT 0.45(均已开启物理磁盘分析)。。。于是分析了一下AK922的流程,想出并实现了过AK922的最简单方法:
**** Hidden Message ***** 哦 这也行 看看它是如何做到的?
为什么不直接恢复IofCompleteRequest的Inline Hook呢? 2012ohyeah 发表于 2012-2-4 09:44 static/image/common/back.gif
为什么不直接恢复IofCompleteRequest的Inline Hook呢?
你自己研究一下AK922的流程就知道了。 AK922回检查当前的 irql,如果不在 DISPATCH_LEVEL 则直接返回不进行下一步处理。
KeRaiseIrqlToDpcLevel是临时提升IRQL到DISPATCH_LEVEL ,为什么先恢复KeRaiseIrqlToDpcLevel的hook 这个hook里面做了什么呢?
我菜啊 对驱动还不是很熟
{:soso__2946924916240177724_4:} 2012ohyeah 发表于 2012-2-4 11:27 static/image/common/back.gif
AK922回检查当前的 irql,如果不在 DISPATCH_LEVEL 则直接返回不进行下一步处理。
KeRaiseIrqlToDpcLevel ...
AK922在Proxy_KeRaiseIrqlToDpcLevel里HOOK IofCompleteRequest。。。 直接在驱动入口 call HookIofComXXX没看到Proxy_KeRaiseIrqlToDpcLevel里HOOK 的啊? 本帖最后由 mrkrcl 于 2012-2-4 13:13 编辑
直接恢复IofCompleteXX是可以的,只是太暴力的,如何共存才是王道
PS: Reload kernel 虽然是对抗很多内核HOOK 的好方法,但是过于暴力了,稳定性欠佳,特别市当你还需要做一些特殊的hook处理的时候
==> 最后PS: 话说很多技术和代码其实都是从NT4源码中A出来的~ 或者是改良版的{:soso_e113:},NT4是个好东西哈 ,后面附上一个早期某牛人写的 http://hi.baidu.com/sudami/blog/item/32f790622049cfd5e7113ade.html(检测AK922.SYS - 有码)
mrkrcl 发表于 2012-2-4 13:01 static/image/common/back.gif
直接恢复IofCompleteXX是可以的,只是太暴力的,如何共存才是王道
PS: Reload kernel 虽然是对抗很多内核H ...
无意中发现那些解析NTFS的代码在WIN7 X64上都无效了。。。
同理,自行解析HIVE文件读写注册表的代码在WIN7 X64上也无效。。。 看看先
3q {:soso_e121:}看看。!! 楼主也有时间研究这些,不晓得楼主在哪工作 Tesla.Angela 发表于 2012-2-4 13:36 static/image/common/back.gif
无意中发现那些解析NTFS的代码在WIN7 X64上都无效了。。。
同理,自行解析HIVE文件读写注册表的代码在WIN ...
没有足够的条件,64位木有研究过,解析HIVE无效可以理解,NTFS到时有点不清楚,莫非X64位文件系统也有一些变化了,期待LZ能放些这样的东西出来~ : )
KindOf 发表于 2012-2-4 21:49 static/image/common/back.gif
楼主也有时间研究这些,不晓得楼主在哪工作
我暂时没有工作,或者说工作是“学生”。
另外您原来就是“zhouws”,热烈欢迎啊。。。 mrkrcl 发表于 2012-2-4 22:45 static/image/common/back.gif
没有足够的条件,64位木有研究过,解析HIVE无效可以理解,NTFS到时有点不清楚,莫非X64位文件系统也有一 ...
变化太正常了,本来就是不公开的东西,人家也没有提供接口给你调用。 牛人总是能温故知新啊 重载一下内核在操作其实是不错的! 进来学习下哈,呵呵 看看,学习学习学习 RK,ARK大家都重载~~我的内存就满了 这办法有用吗 看下楼主如何开刀的 看看 表示很有兴趣,看看先。 看看。 看看,能有猛料么 看看先。 看看了 学习先 谢谢 来学习学习 学习一下。 看看
页:
[1]
2