关于过AK922的文件隐藏

Tesla.Angela · 发表于 2012-2-4 01:31:34

今天无意中发现AK922这个这么老的RKD竟然能过PT 4.2和XT 0.45（均已开启物理磁盘分析）。。。
于是分析了一下AK922的流程，想出并实现了过AK922的最简单方法：

游客，如果您要查看本帖隐藏内容请回复

2012ohyeah · 发表于 2012-2-4 09:32:47

哦这也行看看它是如何做到的？

2012ohyeah · 发表于 2012-2-4 09:44:16

为什么不直接恢复IofCompleteRequest的Inline Hook呢？

Tesla.Angela · 发表于 2012-2-4 10:52:18

2012ohyeah 发表于 2012-2-4 09:44
为什么不直接恢复IofCompleteRequest的Inline Hook呢？

你自己研究一下AK922的流程就知道了。

2012ohyeah · 发表于 2012-2-4 11:27:35

AK922回检查当前的 irql，如果不在 DISPATCH_LEVEL 则直接返回不进行下一步处理。

KeRaiseIrqlToDpcLevel是临时提升IRQL到DISPATCH_LEVEL ，为什么先恢复KeRaiseIrqlToDpcLevel的hook 这个hook里面做了什么呢？
我菜啊对驱动还不是很熟
{:soso__2946924916240177724_4:}

Tesla.Angela · 发表于 2012-2-4 11:36:38

2012ohyeah 发表于 2012-2-4 11:27
AK922回检查当前的 irql，如果不在 DISPATCH_LEVEL 则直接返回不进行下一步处理。

KeRaiseIrqlToDpcLevel ...

AK922在Proxy_KeRaiseIrqlToDpcLevel里HOOK IofCompleteRequest。。。

2012ohyeah · 发表于 2012-2-4 12:21:07

直接在驱动入口 call HookIofComXXX 没看到Proxy_KeRaiseIrqlToDpcLevel里HOOK 的啊？

mrkrcl · 发表于 2012-2-4 13:01:58

本帖最后由 mrkrcl 于 2012-2-4 13:13 编辑

直接恢复IofCompleteXX是可以的，只是太暴力的，如何共存才是王道
PS： Reload kernel 虽然是对抗很多内核HOOK 的好方法，但是过于暴力了，稳定性欠佳，特别市当你还需要做一些特殊的hook处理的时候

==> 最后PS：话说很多技术和代码其实都是从NT4源码中A出来的~ 或者是改良版的{:soso_e113:}，NT4是个好东西哈 ,后面附上一个早期某牛人写的 http://hi.baidu.com/sudami/blog/item/32f790622049cfd5e7113ade.html （检测AK922.SYS - 有码）

Tesla.Angela · 发表于 2012-2-4 13:36:36

mrkrcl 发表于 2012-2-4 13:01
直接恢复IofCompleteXX是可以的，只是太暴力的，如何共存才是王道
PS： Reload kernel 虽然是对抗很多内核H ...

无意中发现那些解析NTFS的代码在WIN7 X64上都无效了。。。
同理，自行解析HIVE文件读写注册表的代码在WIN7 X64上也无效。。。

ok100fen · 发表于 2012-2-4 19:02:45

看看先

3q

xmlpull · 发表于 2012-2-4 20:57:40

{:soso_e121:}看看。！！

KindOf · 发表于 2012-2-4 21:49:26

楼主也有时间研究这些，不晓得楼主在哪工作

mrkrcl · 发表于 2012-2-4 22:45:09

Tesla.Angela 发表于 2012-2-4 13:36
无意中发现那些解析NTFS的代码在WIN7 X64上都无效了。。。
同理，自行解析HIVE文件读写注册表的代码在WIN ...

没有足够的条件，64位木有研究过，解析HIVE无效可以理解，NTFS到时有点不清楚，莫非X64位文件系统也有一些变化了，期待LZ能放些这样的东西出来~ : )

Tesla.Angela · 发表于 2012-2-4 23:13:20

KindOf 发表于 2012-2-4 21:49
楼主也有时间研究这些，不晓得楼主在哪工作

我暂时没有工作，或者说工作是“学生”。
另外您原来就是“zhouws”，热烈欢迎啊。。。

Tesla.Angela · 发表于 2012-2-4 23:14:25

mrkrcl 发表于 2012-2-4 22:45
没有足够的条件，64位木有研究过，解析HIVE无效可以理解，NTFS到时有点不清楚，莫非X64位文件系统也有一 ...

变化太正常了，本来就是不公开的东西，人家也没有提供接口给你调用。

dico · 发表于 2012-2-5 21:42:52

牛人总是能温故知新啊

iloveqqp · 发表于 2012-2-5 23:24:49

重载一下内核在操作其实是不错的!

huzhao23 · 发表于 2012-2-5 23:48:32

进来学习下哈，呵呵

lkytal · 发表于 2012-2-9 20:13:10

看看,学习学习学习

wode200910 · 发表于 2012-2-14 17:35:40

RK,ARK大家都重载~~我的内存就满了

cxjnet · 发表于 2012-2-17 12:39:42

这办法有用吗

goddkiller · 发表于 2012-2-17 15:57:32

看下楼主如何开刀的

zgneng · 发表于 2012-2-20 23:04:28

看看

happymam · 发表于 2012-4-16 14:40:14

表示很有兴趣，看看先。

nbboy · 发表于 2012-5-4 08:31:34

看看。

h4ckhy · 发表于 2012-5-24 21:14:37

看看，能有猛料么

haidejintou · 发表于 2013-5-24 19:13:33

看看先。

jzy1115 · 发表于 2013-5-25 09:15:01

看看了

catface0511 · 发表于 2013-8-10 14:26:12

学习先谢谢

huangzeyuan · 发表于 2013-8-13 23:52:57

来学习学习

啤酒肚 · 发表于 2014-2-23 06:42:33

学习一下。

cychk · 发表于 2014-7-29 00:58:13

看看

账号		自动登录	找回密码
密码			加入我们