15,466
社区成员
发帖
与我相关
我的任务
分享绕过杀软加载驱动及Ring3下SSDT恢复
最近弄dll注入的时候,在WriteProcessMemory处被瑞星拦截(调用了3次,只在最后一次被拦,至今没搞清楚怎么回事,详见这贴:http://topic.csdn.net/u/20091211/21/60be1faa-c7c3-48cd-b457-c658b8317c30.html)。
其中Tr0j4n老大说可以恢复SSDT,绕过杀软,还说可以绕过杀软加载驱动,或者在Ring3下直接恢复SSDT。(不知道表述是否准确,详见http://topic.csdn.net/u/20091211/21/60be1faa-c7c3-48cd-b457-c658b8317c30.html)
我自己百度了几下,google了n下,还没找到好的办法,故此开新贴求解。
疑惑一:绕过杀软加载驱动及Ring3下SSDT恢复
疑惑二:试验了下,发现好像只有瑞星和360拦截加载驱动,而且最新的瑞星也不拦截了,不知道是不是?
本人比较菜,望各牛指点。
分不多,90分献上。
其中Tr0j4n老大说可以恢复SSDT,绕过杀软,还说可以绕过杀软加载驱动,或者在Ring3下直接恢复SSDT。(不知道表述是否准确,详见http://topic.csdn.net/u/20091211/21/60be1faa-c7c3-48cd-b457-c658b8317c30.html)
我自己百度了几下,google了n下,还没找到好的办法,故此开新贴求解。
疑惑一:绕过杀软加载驱动及Ring3下SSDT恢复
疑惑二:试验了下,发现好像只有瑞星和360拦截加载驱动,而且最新的瑞星也不拦截了,不知道是不是?
本人比较菜,望各牛指点。
分不多,90分献上。
...全文
请发表友善的回复…
发表回复
哈利路亚1874 2009-12-13
- 打赏
- 举报
还是想一下有其它的门路没有,这种方法过时了,就像楼上说的,老技术了
哈利路亚1874 2009-12-13
- 打赏
- 举报
哎,你这种想法,杀软的HIPS技术早想到了,采取各种方法拿你了
tiancanyue 2009-12-12
- 打赏
- 举报
有没有破坏性小的?貌似上面的种种破坏性都不小啊,容易暴露啊
MoXiaoRab 2009-12-12
- 打赏
- 举报
很久不研究邪恶的东西了,就靠以前的经验吃点老本。
我不知道现在瑞星是不是拦你Write。
根本不用杀软一年多了
绕过驱动拦截的方法太多了,特别是重启之后。Hotpatch,替换系统的一些sys,感染驱动,蓝屏崩溃加载。
直接针对某些杀软入手倒也可以,先Fuck之你再加载。杀软很多都是纸老虎弄弄就崩溃了
我不知道现在瑞星是不是拦你Write。
根本不用杀软一年多了
绕过驱动拦截的方法太多了,特别是重启之后。Hotpatch,替换系统的一些sys,感染驱动,蓝屏崩溃加载。
直接针对某些杀软入手倒也可以,先Fuck之你再加载。杀软很多都是纸老虎弄弄就崩溃了
MoXiaoRab 2009-12-12
- 打赏
- 举报
有空试试用dmload.sys加载驱动,至少现在还是能用的。很爽的
MoXiaoRab 2009-12-12
- 打赏
- 举报
有很多方法是不会公开的,都捏在各个牛的手里呢。
MoXiaoRab 2009-12-12
- 打赏
- 举报
Ring3恢复SSDT的技术都出了N年了,早就不是新技术了,有成熟的代码。现在有的杀软会进行防护,防止你读取\\device\\physicalmemory设备,成功率现在并不太高
Ring3下感染驱动也很简单,Google下一大把
Ring3下感染驱动也很简单,Google下一大把
WinEggDrop 2009-12-12
- 打赏
- 举报
[Quote=引用楼主 tiancanyue 的回复:]
最近弄dll注入的时候,在WriteProcessMemory处被瑞星拦截(调用了3次,只在最后一次被拦,至今没搞清楚怎么回事,详见这贴:http://topic.csdn.net/u/20091211/21/60be1faa-c7c3-48cd-b457-c658b8317c30.html)。
其中Tr0j4n老大说可以恢复SSDT,绕过杀软,还说可以绕过杀软加载驱动,或者在Ring3下直接恢复SSDT。(不知道表述是否准确,详见http://topic.csdn.net/u/20091211/21/60be1faa-c7c3-48cd-b457-c658b8317c30.html)
我自己百度了几下,google了n下,还没找到好的办法,故此开新贴求解。
疑惑一:绕过杀软加载驱动及Ring3下SSDT恢复
疑惑二:试验了下,发现好像只有瑞星和360拦截加载驱动,而且最新的瑞星也不拦截了,不知道是不是?
本人比较菜,望各牛指点。
分不多,90分献上。
[/Quote]
ring 3中恢复SSDT的以前有过,不过早被封了。当然还有没公开还可用的方法,不过这是没公开的,所以只有少数的人知道,一旦公开一样被封。
很多安全软件都会拉这些的,不只是驱动加载,服务创建等也拦的。
最近弄dll注入的时候,在WriteProcessMemory处被瑞星拦截(调用了3次,只在最后一次被拦,至今没搞清楚怎么回事,详见这贴:http://topic.csdn.net/u/20091211/21/60be1faa-c7c3-48cd-b457-c658b8317c30.html)。
其中Tr0j4n老大说可以恢复SSDT,绕过杀软,还说可以绕过杀软加载驱动,或者在Ring3下直接恢复SSDT。(不知道表述是否准确,详见http://topic.csdn.net/u/20091211/21/60be1faa-c7c3-48cd-b457-c658b8317c30.html)
我自己百度了几下,google了n下,还没找到好的办法,故此开新贴求解。
疑惑一:绕过杀软加载驱动及Ring3下SSDT恢复
疑惑二:试验了下,发现好像只有瑞星和360拦截加载驱动,而且最新的瑞星也不拦截了,不知道是不是?
本人比较菜,望各牛指点。
分不多,90分献上。
[/Quote]
ring 3中恢复SSDT的以前有过,不过早被封了。当然还有没公开还可用的方法,不过这是没公开的,所以只有少数的人知道,一旦公开一样被封。
很多安全软件都会拉这些的,不只是驱动加载,服务创建等也拦的。
