个人认为比较可能的64位HIPS思路（不破解PATCHGUARD）

Tesla.Angela · 发表于 2012-4-1 16:31:26

1.纯粹RING3 API INLINE HOOK方式：Create Process Notify + DLL注入 + 各种比较变态的反RELOAD AND CALL的措施
2.内核回调 + RING3 API INLINE HOOK方式：进线程句柄操作（ObRegisterCallbacks）、注册表操作（CmRegisterCallbackEx）、文件系统访问（文件过滤驱动）、加载驱动（PsSetLoadImageNotifyRoutine）、进程创建（PsSetCreateProcessNotifyRoutine）、远程线程（PsSetCreateThreadNotifyRoutine）均在驱动里处理，其它监控用RING3 API INLINE HOOK

大家想想还有别的思路吗？

zhaogrand · 发表于 2012-4-1 22:23:16

只能围观了，底层HOOK 太难

a0791 · 发表于 2012-4-2 11:16:10

不错。

qwerasdf · 发表于 2012-4-2 12:42:27

围观

ywledoc · 发表于 2012-4-4 22:13:28

弄了win32就转去win64了啊。。。我倒是想转到*nix下去。。

显示全部楼层 · 发表于 2012-4-8 15:37:42

提示: 作者被禁止或删除内容自动屏蔽

显示全部楼层 · 发表于 2012-4-8 15:38:57

提示: 作者被禁止或删除内容自动屏蔽

ithurricane · 发表于 2012-5-8 17:47:40

提示: 作者被禁止或删除内容自动屏蔽

kk1025 · 发表于 2013-4-11 12:05:46

還沒很搞懂PATCHGUARD，但不是沒管SHADOWSSDT嗎

账号		自动登录	找回密码
密码			加入我们

本网站最菜的人该用户已被删除	发表于 2012-4-8 15:37:42 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
本网站最菜的人该用户已被删除
	回复举报

本网站最菜的人该用户已被删除	发表于 2012-4-8 15:38:57 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
本网站最菜的人该用户已被删除
	回复举报