绕过杀软加载驱动及Ring3下SSDT恢复

VC/MFC > 进程/线程/DLL [问题点数:90分]
等级
本版专家分:65
结帖率 93.94%
等级
本版专家分:60484
勋章
Blank
微软MVP 2011年10月 荣获微软MVP称号
2010年10月 荣获微软MVP称号
Blank
红花 2009年12月 VC/MFC大版内专家分月排行榜第一
2009年11月 VC/MFC大版内专家分月排行榜第一
2009年10月 VC/MFC大版内专家分月排行榜第一
2009年9月 VC/MFC大版内专家分月排行榜第一
Blank
黄花 2009年8月 VC/MFC大版内专家分月排行榜第二
Blank
蓝花 2010年1月 VC/MFC大版内专家分月排行榜第三
等级
本版专家分:65
等级
本版专家分:9041
等级
本版专家分:60484
勋章
Blank
微软MVP 2011年10月 荣获微软MVP称号
2010年10月 荣获微软MVP称号
Blank
红花 2009年12月 VC/MFC大版内专家分月排行榜第一
2009年11月 VC/MFC大版内专家分月排行榜第一
2009年10月 VC/MFC大版内专家分月排行榜第一
2009年9月 VC/MFC大版内专家分月排行榜第一
Blank
黄花 2009年8月 VC/MFC大版内专家分月排行榜第二
Blank
蓝花 2010年1月 VC/MFC大版内专家分月排行榜第三
等级
本版专家分:60484
勋章
Blank
微软MVP 2011年10月 荣获微软MVP称号
2010年10月 荣获微软MVP称号
Blank
红花 2009年12月 VC/MFC大版内专家分月排行榜第一
2009年11月 VC/MFC大版内专家分月排行榜第一
2009年10月 VC/MFC大版内专家分月排行榜第一
2009年9月 VC/MFC大版内专家分月排行榜第一
Blank
黄花 2009年8月 VC/MFC大版内专家分月排行榜第二
Blank
蓝花 2010年1月 VC/MFC大版内专家分月排行榜第三
等级
本版专家分:60484
勋章
Blank
微软MVP 2011年10月 荣获微软MVP称号
2010年10月 荣获微软MVP称号
Blank
红花 2009年12月 VC/MFC大版内专家分月排行榜第一
2009年11月 VC/MFC大版内专家分月排行榜第一
2009年10月 VC/MFC大版内专家分月排行榜第一
2009年9月 VC/MFC大版内专家分月排行榜第一
Blank
黄花 2009年8月 VC/MFC大版内专家分月排行榜第二
Blank
蓝花 2010年1月 VC/MFC大版内专家分月排行榜第三
等级
本版专家分:4970
等级
本版专家分:4970
tiancanyue

等级:

ring3下感染驱动->恢复ssdt

#include #include #include #define SECTION_SIZE 0x1000 #define SECTION_NAME ".ssdt" typedef struct { WORD offset:12; WORD type:4;} IMAGE_FIXUP_

ring3 恢复SSDT

// IATHOOK.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include #include #include #include using namespace std;#define STATUS_S

杀毒软件智能主动防御的软肋——无驱恢复系统SSDT

8.3 杀毒软件智能主动防御的软肋——无驱恢复系统SSDT表 大部分的杀毒软件其内置的主动防御功能,通常考虑到用户易用性的问题,都是采用的... 上面提到的ByShell是通过加载驱动的方式实现恢复SSDT表的,这种方法目前已

驱动还原:恢复SSDT内核钩子(2)

SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的...

通过修改CR0寄存器绕过SSDT驱动保护

但这种方法很容易被绕过,我们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。 cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的...

重载内核实现绕过一切钩子

很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应...

最新绕过TX驱动保护TesSafe.sys方法

前段时间看 wanleidawa 兄弟发的帖子 【原创】搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys,给我启发很大。 不过很多人可能对上面的内容不太能理解。我先简单说他那里的意识,然后在描述新的方法,...

VC郁金香过驱动(51集).rar

1.4.5绕过SSDT驱动保护-21课 A、去掉页面保护 B、写入In Line HOOK代码 C、用OD附加测试效果 D、反HOOK代码 1.6NT式驱动的安装-22课 A、OpenSCManager B、CreateService C、OpenService D、StartService E、...

【梅哥的Ring0湿润插入教程】重磅第三课:Ring0的PE Loader加载内核秒杀一切内核级钩子(上篇)...

第三课:Ring0PE Loader加载内核绕过一切内核级钩子(上篇) 随着驱动保护技术的逐步成熟,诸如网络游戏公司等越来越多的商业软件公司开始使用Ring0级保护技术保护自己的产品,以起到反用户级调试、反RootKit...

谈谈 通杀SSDT hook和Shadow SSDT hook的方法

其实技术含量也不高,耐心研究都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学...

Win 7下过盛*大,H*S驱动保护

大家调试的时候都可以知道,盛*大游戏(泡泡堂)的外壳是Themida,可以用OD创建进程,但不能附加游戏,本来想只用一个驱动文件来保护的,但在Win 7的HOOK里判断进程名,会出问题,导致系统奔溃,而这在Win XP却...

浅析ring3下对抗08瑞星主动防御

骇客基地 阅读:50 时间:2007-12-21 12:53:51 来源:www.hookbase.com 注:文章已经发表在2007年12期《黑客防线》,后由原创作者提交到邪恶八进制...

谈一谈,做一个杀毒软件,必备的Windows驱动程序

我觉得,做一个杀毒软件,大概要有以下的驱动程序。下面我给出了杀毒软件的大致设计框架。 由于一些事情的存在,程序代码暂时不能上传到看雪论坛上,以免引起日后产生不必要的法律纠纷。这里还请各位朋友能够原谅。...

RING 内核模式

系统分为4个特权级,从RING0到RING3RING3即用户模式,RING0即内核模式。windows采用消息机制,来反映用户的操作,甚至是刷新一下。 消息从RING3层层递进到RING0,再由CPU来处理,然后再把结果反馈给RING3,即用户...

修改寄存器绕过保护

但这种方法很容易被绕过,我们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。  cr0是系统内的控制寄存器之一。控制寄存器是一些特殊...

进程保护原理Hook函数Openprocess

Win32子系统:  Win32是Windows的一个子系统,还有另外的子系统

SSDT HIDE Process

这只是一篇类似于教学性的paper,在本文中阐述了一些SSDT HOOK的基本原理与实现方法,方法并不高深也不新颖,只是方便如同我一般的小菜们能够了解SSDT HOOK的概念,并通过一个小程序实现ring0下SSDT HOOK来隐藏特定...

Ring0级的rootkit XFKnrl的发现、删除其他

1、首先是发现浏览该服务器网页时,最底端加入了一段iframe:http://bh.jebooo.com/3002.htm追查该代码,关键字:BD96C556-65A3-11D0-983A-00C04FC29var real=new ActiveXObject("IERPCtl.IERPCtl.1");var storm=new...

Using SSDT HOOK To Hide Processes

前言:这只是一篇类似于教学性的paper,在本文中阐述了一些SSDT HOOK的基本原理与实现方法,方法并不高深也不新颖,只是方便如同我一般的小菜们能够了解SSDT HOOK的概念,并通过一个小程序实现ring0下SSDT HOOK来...

狙击驱动木马

一. 招摇过市的流氓与木马中国的网络从来都是与各种蠕虫、木马、漏洞扫描器一起运作的,而国民对计算机木马和病毒的敏感反应是很重的,但是防范意识却又是最低的,于是在这样的环境里,越来越多的人参与到了木马病毒...

windows驱动学习笔记

零零散散花了一个月的时间初步学习了windows驱动编程,接着开始要制定2013年的学习计划,即将步入另外一个学习战场,于是就将最近学习记录下来,也好将来再返回学习时有点基础。 一、windows驱动安装 1、到官方...

(转载)反nProtect监视原理(+Bypass NP in ring0)

(收藏) 反nProtect监视原理(+Bypass NP in ring0) 标 题: 【原创】反NP监视原理(+Bypass NP in ring0)作 者: 堕落天才时 间: 2007-01-03,11:58链 接: http://bbs.pediy.com/showthread.php?t=37353NP=nProtect ...

在NP用OD调试游戏的方法

在NP用OD调试游戏的方法外挂制作 2009-01-19 22:09 阅读266 评论0 字号: 大大 中中 小小 一、NP用户层监视原理 NP启动后通过WriteProcessMemory跟CreateRemoteThread向所有进程注入代码(除了系统进程smss.exe...

Rootkit的学习与研究

Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。...

标 题: 【原创】反NP监视原理(+Bypass NP in ring0)(转)

标 题: 【原创】反NP监视原理(+Bypass NP in ring0) 作 者: 堕落天才 时 间: 2007-01-03,11:58 链 接: http://bbs.pediy.com/showthread.php?t=37353 NP=nProtect Gam

[网友LionD8的毕业论文]Windows2000 内核级进程隐藏、侦测技术

Windows2000 内核级进程隐藏、侦测技术 指导老师:龙老师 

安全基础--23--应急响应(上)

一、相关概念 应急响应(Incident Response):安全人员在遇到突发事件后所采取的措施和行动。 突发事件:发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。 事件响应:信息安全生命周期的必要组成...

(收藏) 反nProtect监视原理(+Bypass NP in ring0)

标 题: 【原创】反NP监视原理(+Bypass NP in ring0) 作 者: 堕落天才 时 间: 2007-01-03,11:58 链 接: http://bbs.pediy.com/showthread.php?t=37353 NP=nProtectGameGuard(如果你不知道这是什么,请不要往...

反NP监视原理(+Bypass NP in ring0

标 题: 【原创】反NP监视原理(+Bypass NP in ring0)作 者: 堕落天才时 间: 2007-01-03,11:58链 接: http://bbs.pediy.com/showthread.php?t=37353NP=nProtect GameGuard(如果你不知道这是什么,请不要往看)******...

xshell & xftp.zip

xshell6 和 xftp6个人版,直接安装即可使用。

相关热词 c# 系统托盘图标 c#结构体定义 c# 根据网络定位 c# 清除html标签 c# uwp最小化 c#和java的区别 64位转换 c# 十进制 c# 点击保存草稿的实现 c# 如何切换图片 c# 界面 隐藏部分