楼主: zuo
收起左侧

[讨论] 个人出品的ark是否有可能支持64位windows

  [复制链接]
hx1997
发表于 2011-9-24 19:25:35 | 显示全部楼层
本帖最后由 hx1997 于 2011-9-24 20:01 编辑

本来呢认为是不可能的,但是看了ESET对tdl4的分析发现TDSS正是在64位下绕过了Patch Protection加载驱动的。
原理就是不使用系统提供的常规方法,而自己实现加载驱动。

所以方法肯定是有的了,不过真要做出来就成了Rootkit了吧。

PS 其实内核架构什么的对于大牛来说都很简单,就是绕过PG这个有点难吧。
hx1997
发表于 2011-9-24 20:00:19 | 显示全部楼层
有兴趣的可以看看tdl4分析
http://go.eset.com/us/resources/ ... volution_of_TDL.pdf

其中说tdl4是这么加载驱动的:
1.从自带的隐藏文件系统中读取驱动映像
2.在内核模式地址空间中为驱动分配内存缓冲区
3.定位并初始化导入地址表
4.执行驱动入口点
5.驱动中的代码通过调用未文档函数 IoCreateDriver 创建一个类型为 DRIVER_OBJECT 的对象
经过这些步骤后这个 Rootkit 的驱动就被加载到了内核模式地址空间并开始运作。
x-da
头像被屏蔽
发表于 2011-9-25 13:16:24 | 显示全部楼层
官人是人,牛人是人,大家都是人,没有什么不可能的!
myzuzong
发表于 2011-9-25 14:41:17 | 显示全部楼层
hx1997 发表于 2011-9-24 20:00
有兴趣的可以看看tdl4分析
http://go.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf

好文。eset的researcher还是厉害啊,难怪eset 5的hips做的如此细致(尽管智能性不是令人满意)。
dl123100
发表于 2011-9-25 15:00:32 | 显示全部楼层
myzuzong 发表于 2011-9-25 14:41
好文。eset的researcher还是厉害啊,难怪eset 5的hips做的如此细致(尽管智能性不是令人满意)。

这份paper不怎么样,发布时已经太晚了,给出的东西基本都不难分析到,很多关键的东西都没提。eset出的TDSS专杀也很一般。

评分

参与人数 1人气 +1 收起 理由
hx1997 + 1 还是这么犀利...

查看全部评分

myzuzong
发表于 2011-9-25 15:07:49 | 显示全部楼层
dl123100 发表于 2011-9-25 15:00
这份paper不怎么样,发布时已经太晚了,给出的东西基本都不难分析到,很多关键的东西都没提。eset出的TDS ...

这文章对我这种业余菜鸟来说着实很好,因为文章的深度正好我看得懂,再难点就不行了。对于dl牛当然不值一提了,大牛不要对我要求太高啊。。
zhq445078388
发表于 2011-9-26 22:25:56 | 显示全部楼层
如果ant rootkit能做到
那么 rootkit也能做到 64位出来是干嘛的? 第二个vista?
Johnny.R
发表于 2011-9-28 12:12:37 | 显示全部楼层
微软也卖数字签章?
y2m3
发表于 2011-10-4 20:08:26 | 显示全部楼层
楼主有一点说错了,阻止x64支持ARK的不是驱动签名,而是patchguard。。。。

现在360、麦咖啡等在x64下都有驱动,而且x64一样能进行进程保护,但不是通过以前那种传统的hook方式了。。

至于x64下能否有ark,那就需要看你如何理解ark的概念了,反正我觉得x64下是不会有了,如果你说x64下是否会有rootkit倒是觉得有可能,因为patchguard与驱动是同一级别的,绕过它倒是有可能(据说有关闭它的办法)。但传统的ark,想都别想
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:41 , Processed in 0.101369 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表