Tesla.Angela 发表于 2012-4-1 16:31:26

个人认为比较可能的64位HIPS思路(不破解PATCHGUARD)

1.纯粹RING3 API INLINE HOOK方式:Create Process Notify + DLL注入 + 各种比较变态的反RELOAD AND CALL的措施
2.内核回调 + RING3 API INLINE HOOK方式:进线程句柄操作(ObRegisterCallbacks)、注册表操作(CmRegisterCallbackEx)、文件系统访问(文件过滤驱动)、加载驱动(PsSetLoadImageNotifyRoutine)、进程创建(PsSetCreateProcessNotifyRoutine)、远程线程(PsSetCreateThreadNotifyRoutine)均在驱动里处理,其它监控用RING3 API INLINE HOOK
大家想想还有别的思路吗?

zhaogrand 发表于 2012-4-1 22:23:16

只能围观了,底层HOOK 太难

a0791 发表于 2012-4-2 11:16:10

不错。

qwerasdf 发表于 2012-4-2 12:42:27

围观

ywledoc 发表于 2012-4-4 22:13:28

弄了win32就转去win64了啊。。。我倒是想转到*nix下去。。

本网站最菜的人 发表于 2012-4-8 15:37:42

本网站最菜的人 发表于 2012-4-8 15:38:57

ithurricane 发表于 2012-5-8 17:47:40

kk1025 发表于 2013-4-11 12:05:46

還沒很搞懂PATCHGUARD, 但不是沒管SHADOWSSDT嗎
页: [1]
查看完整版本: 个人认为比较可能的64位HIPS思路(不破解PATCHGUARD)