对付冰刀的一点点方法

总引篇:: rT
决定写这篇可以教坏小孩子的文章的原因是rootkit实在写的郁闷了，出来散散心。 c%
©CVC电脑病毒论坛 -- 中国毒客的快乐天地　　2(
进程篇:: Xm`MPb
实话说，我觉得你都drv了，还他妈什么进程，干脆都ring0不好吗？对于icesword不使用从可爱的swap链上找 _
人我表示感谢，但是不代表其他anti不会，单说icesword(以下称is)用PspCidHandleTable搞寻人启事，于是 P<+
有很多方法可以dead line it~,不过话说回来，如果单纯对付is,我们可以采用in line hook掉ExEnumHandleTable u(`
的方法来——嘿嘿具体如何对付is的暴力重载函数，各位就等文件篇一起说吧~ EPV
©CVC电脑病毒论坛 -- 中国毒客的快乐天地　　s8.0
注册表篇:: Ef3@hE
我个人觉得一个驱动或者一个程序，你非要隐藏其注册表项，对于is这样的分析你的注册表导出的家伙，你大 q
可以控制导出，采用hook来控制一切针对注册表的关键项读取，具体如何很多例子已经说明了道理——不过关 &/As%
键还是暴力重载函数，哈哈~~ |$ T
©CVC电脑病毒论坛 -- 中国毒客的快乐天地　　M`
文件篇:: ~kR
is暴力重载ntfs,fastfat的关键irp_routine,所以方法就是让他不能暴力重载！！我们通过分析is没有重载过 1
的与文件紧密挂钩的函数就是IoCreateFile,我们in line hook这个函数，做文件重定向——呵呵，聪明的人已 =
经明白了，我就是这样投机取巧——重定向到的文件自然就是我们的drv patch过的内存dump文件——为什么要用dump? CE
因为我们可以每次启动都patch的动态阿,而且不用管WFP的干活~ k}{3yr
©CVC电脑病毒论坛 -- 中国毒客的快乐天地　　2BYi
于是is就变成帮凶（帮助我们恢复被xxxx等变态工具干掉的hook），具体如何实现各位就不要逼问了，因为我 L=aed
实在不能多说了~不过如果pjf采用和XXXX工具一样变态的pio的方法读写扇区，我就江郎才尽~ A

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！