Tesla.Angela 发表于 2013-2-2 09:48:36

说说如何对付不断进行IRP HOOK的垃圾软件

首先看这个:Win7x64上突破雨过天晴20130111自我保护写入正常MBR
http://www.m5home.com/bbs/thread-7444-1-1.html

但我在上面没有提及的是,雨过天晴2013是一款十分恶心的软件,除了挂钩了DISK和ATAPI所有的IRP之外,还会不断检测自己的钩子有没有被恢复,如果发现钩子被恢复,就会重新挂钩,而且会结束恢复钩子的进程。

所以衍生出一个问题:如何对付这种垃圾手段。以下分为两种情况讨论:IRP HOOK和IRP INLINE HOOK。
**** Hidden Message *****

yxxxxxxx 发表于 2020-11-13 08:41:48

谢谢楼主

lpmjknj 发表于 2020-11-14 11:05:52

学习一下

caizhe666 发表于 2020-11-22 11:04:26

我也在研究shadow defender的穿透,也遇到了这个问题。。。

a1678131758 发表于 2020-11-27 20:36:02

看看                  

kimjongun 发表于 2020-12-1 09:39:03

好好学习,天天向上。。。

omenfk 发表于 2022-8-13 12:43:50

我来看看

sc12345 发表于 2025-3-2 20:14:06

感谢分享

Cloutain 发表于 2025-3-3 09:35:36

老知识,新学习
页: [1]
查看完整版本: 说说如何对付不断进行IRP HOOK的垃圾软件