tangptr@126.com 发表于 2016-4-30 23:50:42

TP的学习笔记:不读取文件恢复FSD Hook

FSD即File System Driver,文件系统驱动,其IRP表的内容是可以被Rootkit利用的地方,比如Hook IRP_MJ_DIRECTORY_CONTROL可以隐藏文件,Hook IRP_MJ_SET_INFORMATION可以保护文件等等。因此,恢复FSD Hook也是较为良好的Anti-Rootkit工具必备的技能。正常情况下,我们通过读取文件系统驱动的驱动文件,比如Ntfs.sys,fastfat.sys之类的。TA的开源项目驱动级文件管理器(链接:http://www.m5home.com/bbs/thread-7837-1-1.html)正是通过读文件(IoCreateFile+ZwReadFile)的方式实现了获取IRP函数的原始地址。本文将给出一种新的方式,连文件都不用读取。
**** Hidden Message *****

Tesla.Angela 发表于 2016-5-1 00:34:02

汗。。。那你还不如用符号。。。而且如果被人把你要获取信息的地方PATCH一下,你就白忙活。
不过看你码字这么辛苦的份上,给点适当的鼓励吧!

tangptr@126.com 发表于 2016-5-1 00:44:33

Tesla.Angela 发表于 2016-5-1 00:34
汗。。。那你还不如用符号。。。而且如果被人把你要获取信息的地方PATCH一下,你就白忙活。
不过看你码字这 ...

权当无聊吧。。。我反正也没见过有谁Patch过2333333

Tesla.Angela 发表于 2016-5-6 22:56:47

tangptr@126.com 发表于 2016-5-1 00:44
权当无聊吧。。。我反正也没见过有谁Patch过2333333

我好像见过。。。

icew4y 发表于 2016-5-25 23:27:48

yimingqpa 发表于 2016-9-27 13:53:05

看看学习一下.                                                                     

goodluckwxl 发表于 2016-11-23 03:09:35

学习, 虽然还在消化中、

kz丶cn 发表于 2016-11-23 22:05:46

Fsd如果要获取原始地址,是通过偏移?还是重载?

tangptr@126.com 发表于 2016-11-23 22:54:20

kz丶cn 发表于 2016-11-23 22:05
Fsd如果要获取原始地址,是通过偏移?还是重载?

当然是偏移

zt8152070 发表于 2017-8-29 10:55:04

学习一下

flac 发表于 2017-8-29 23:26:20

学习新的知识,感谢分享

CleanLove 发表于 2018-10-6 18:37:59

学习一下~

Peter_king55 发表于 2018-10-7 02:07:12

感谢无私的分享!!

sc12345 发表于 2018-10-15 18:11:22

感谢分享,看看

caizhe666 发表于 2020-10-11 17:10:30

正需要这个!

Undefined 发表于 2024-2-16 18:57:30

回复查看
页: [1]
查看完整版本: TP的学习笔记:不读取文件恢复FSD Hook