TP的学习笔记：不读取文件恢复FSD Hook

tangptr@126.com · 发表于 2016-4-30 23:50:42

FSD即File System Driver，文件系统驱动，其IRP表的内容是可以被Rootkit利用的地方，比如Hook IRP_MJ_DIRECTORY_CONTROL可以隐藏文件，Hook IRP_MJ_SET_INFORMATION可以保护文件等等。因此，恢复FSD Hook也是较为良好的Anti-Rootkit工具必备的技能。正常情况下，我们通过读取文件系统驱动的驱动文件，比如Ntfs.sys，fastfat.sys之类的。TA的开源项目驱动级文件管理器(链接:http://www.m5home.com/bbs/thread-7837-1-1.html)正是通过读文件(IoCreateFile+ZwReadFile)的方式实现了获取IRP函数的原始地址。本文将给出一种新的方式，连文件都不用读取。

游客，如果您要查看本帖隐藏内容请回复

Tesla.Angela · 发表于 2016-5-1 00:34:02

汗。。。那你还不如用符号。。。而且如果被人把你要获取信息的地方PATCH一下，你就白忙活。
不过看你码字这么辛苦的份上，给点适当的鼓励吧！

tangptr@126.com · 发表于 2016-5-1 00:44:33

Tesla.Angela 发表于 2016-5-1 00:34
汗。。。那你还不如用符号。。。而且如果被人把你要获取信息的地方PATCH一下，你就白忙活。
不过看你码字这 ...

权当无聊吧。。。我反正也没见过有谁Patch过2333333

Tesla.Angela · 发表于 2016-5-6 22:56:47

tangptr@126.com 发表于 2016-5-1 00:44
权当无聊吧。。。我反正也没见过有谁Patch过2333333

我好像见过。。。

icew4y · 发表于 2016-5-25 23:27:48

提示: 作者被禁止或删除内容自动屏蔽

yimingqpa · 发表于 2016-9-27 13:53:05

看看学习一下.

goodluckwxl · 发表于 2016-11-23 03:09:35

学习，虽然还在消化中、

kz丶cn · 发表于 2016-11-23 22:05:46

Fsd如果要获取原始地址,是通过偏移？还是重载？

tangptr@126.com · 发表于 2016-11-23 22:54:20

kz丶cn 发表于 2016-11-23 22:05
Fsd如果要获取原始地址,是通过偏移？还是重载？

当然是偏移

zt8152070 · 发表于 2017-8-29 10:55:04

学习一下

flac · 发表于 2017-8-29 23:26:20

学习新的知识，感谢分享

CleanLove · 发表于 2018-10-6 18:37:59

学习一下~

Peter_king55 · 发表于 2018-10-7 02:07:12

感谢无私的分享！！

sc12345 · 发表于 2018-10-15 18:11:22

感谢分享，看看

caizhe666 · 发表于 2020-10-11 17:10:30

正需要这个！

Undefined · 发表于 2024-2-16 18:57:30

回复查看

账号		自动登录	找回密码
密码			加入我们

TP的学习笔记：不读取文件恢复FSD Hook

评分