Tesla.Angela
发表于 2013-12-11 09:03:39
[原创开源]过PCHUNTER64检查MBR
PCHUNTER64检查MBR的方法是很上层的,直接发SRB到磁盘类驱动(classpnp.sys)而已。
于是我们对classpnp.sys进行“附加设备驱动对象劫持”,就能拦截到PCHUNTER64读写MBR的IRP了!核心代码如下:
**** Hidden Message *****同理过POWERTOOL X64,但不过WIN64AST。因为WIN64AST是直接把SRB发送到磁盘小端口驱动的,而且还特殊处理了部分磁盘小端口驱动的IRP_MJ_SCSI分发函数。
致谢:
**** Hidden Message *****
马大哈
发表于 2013-12-11 09:53:43
完全不懂,只能帮顶一下!{:soso_e136:}
cxjnet
发表于 2013-12-30 00:55:30
看看楼主的东西
shuxuliang
发表于 2014-2-11 16:13:59
hook atapi?
xiaomo
发表于 2014-7-18 08:31:26
这个不错
basketwill
发表于 2014-12-23 11:49:22
学习了。。。。。。
haidejintou
发表于 2016-4-19 23:58:49
xuexi
绿林科技
发表于 2016-4-20 18:52:06
想进群交流下,好怀念。
jyw0113
发表于 2016-6-28 16:34:59
这个学习西啊,
a890528
发表于 2016-9-11 01:39:31
/******************************************************************
注释
******************************************************************/
freecat
发表于 2017-1-14 15:06:44
have a look!
YOUBADBAD
发表于 2018-3-6 16:42:17
谢谢楼主
Peter_king55
发表于 2018-3-6 17:59:55
感谢无私的分享!!
看看是怎么弄的
sc12345
发表于 2018-4-14 15:50:34
谢谢分享
zoandcom
发表于 2018-6-11 17:08:49
找下关于磁盘操作的
kz丶cn
发表于 2018-8-20 19:57:26
mgr rootkit
RootKitsNt
发表于 2018-10-25 15:42:58
学习学习,顶一下
CleanLove
发表于 2019-7-13 08:56:15
学习学习,顶一下
kimjongun
发表于 2019-12-16 18:09:56
好好学习内核编程,早日成为安全大牛。。
e_days
发表于 2019-12-21 04:04:45
谢谢楼主
82430886
发表于 2019-12-28 05:34:31
看看学习学习
a1678131758
发表于 2020-11-6 09:56:07
瞅瞅
页:
[1]