冰冻精灵为什么像Rootkit一样工作？

lovehhy

1：竟然用Inline Hook，劫持了Disk驱动的所有派发历程，看图：



2：为什么挂接了LoadImage之后把自己的驱动主体全部抹掉，这个和Rootkit有什么区别？看图

lovehhy

图上的未知模块是安装了冰冻精灵之后才有的，偷偷用了驱动防火墙竟然号称本身就能防XXX

lovehhy

3）为什么反Rootkit软件发现Atapi被异常劫持？

北方星空

为了防穿，简单解释

听说这样工作方式会使很多软件兼容性变差，无法正常运行

lovehhy

北方星空 发表于 2011-1-19 18:17
为了防穿，简单解释

听说这样工作方式会使很多软件兼容性变差，无法正常运行

防穿有很多办法的，为什么非要自己本身就跟病毒一样工作？
不要说64位下根本没法用了，本身在32位下就极不稳定！
做个驱动甚至都没有数字签名，怎么区别这个驱动不是别的病毒的驱动呢？
别的病毒都按照这样运行了，换成这个驱动的名字，是不是不会被甄别呢？

一点感想而已，不要扔砖！呵呵

lovehhy

呵呵，一个软件在用户的机器上是要跟很多软件同时运行的，个人作品和企业作品的最大产别应该是QA质量控制系统了。把用户当做小白，这样的东西，我是不敢乱用。

FreeEquFraT

我觉得这个作者在目前的条件下把能做的都做了，现在都流行HOOK了，基本上大家都HOOK，多少而已，作者实在是把能HOOK的都HOOK了。
64位和32的机制不一样，目前不支持64位也挺正常的。数字签名可能是作者不想弄吧，不过作者还是保留了一手，没设计成随机名字的驱动，让人一眼看上去就知道是冰冻精灵的驱动。
现在很多的软件并不是做不到某种强度，只是会在兼容性、稳定性、易用性上找平衡而已，这个作者确实是投入了比较多的精力在软件的强度上了，兼容性、稳定性等有点翘翘板效应了。

lovehhy

FreeEquFraT 发表于 2011-1-19 18:32
我觉得这个作者在目前的条件下把能做的都做了，现在都流行HOOK了，基本上大家都HOOK，多少而已，作者实在是 ...

其它著名软件哪个会改变一个驱动的派发历程？小红伞，还是AVast？包括360，金山这么流氓都不会这么做。

darkwolf_99

sd也Inline Hook，劫持了Disk驱动的几个派发历程[:26:]，只是没有冰冻这样全干掉了，呵呵

darkwolf_99

FreeEquFraT 发表于 2011-1-19 18:32
我觉得这个作者在目前的条件下把能做的都做了，现在都流行HOOK了，基本上大家都HOOK，多少而已，作者实在是 ...

冰冻加载两个驱动，一个是frzmagic.sys，另一个就是随机命名的，而且这个随机命名的驱动加载后，就被删除，作用可能是lz的图2所示，不知道有没有其它作用，写信问作者，一直没回复，这种方式比较奇特