收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 火绒盾(断开网络失效)问题已经查明~~【问题已经解决 ...
12345678910... 13下一页
返回列表 发新帖
楼主: china_killer
 收起左侧

[分享] 火绒盾(断开网络失效)问题已经查明~~【问题已经解决】

  [复制链接]
zhq445078388
发表于 2012-7-31 15:09:37 | 显示全部楼层
BootMgr 发表于 2012-7-31 15:03
r0如果你要挂钩一个动态加载的模块(无论是EAT还是别的),可以通过PsSetLoadImageNotifyRoutine的方式获 ...

PsSetLoadImageNotifyRoutine
从名字来看 应该是类似于PsSetCreateProcessNotifyRoutine的函数
也就是说 应该是截获加载镜像文件并通知注册的回调的
他的原形只有一个参数也证明这一点
ddk的帮助也给出了例程和回调原型

这时候 我又有个问题
r0进行eat hook..难道是被hook模块每加载一次 就hook该模块一次??
或者说是这个修改一直有效?

额 这个我明天中午休息时候自己写个试试吧.
回复

举报

Flameocean
发表于 2012-7-31 15:09:39 | 显示全部楼层
BootMgr 发表于 2012-7-31 15:00
以前就爆过一次了,如果楼主真心承认此帖中的错误并道歉,不再做低级黑,我就再给弱者提供一些帮助,帮 ...

多久的事情,我怎么不知道,以前用了一段时间的火绒,后来楼主太自认技术强大,哈哈
回复

举报

大金鱼先生
发表于 2012-7-31 15:10:16 | 显示全部楼层
BootMgr 发表于 2012-7-31 15:09
你这个“门外汉”的说法也太不看不起瑞星前CTO了吧?

不就是前面多了一段jmp代码········ 这个应该·····
回复

举报

china_killer
 楼主| 发表于 2012-7-31 15:15:57 | 显示全部楼层
本帖最后由 china_killer 于 2012-7-31 15:18 编辑
大金鱼先生 发表于 2012-7-31 15:10
不就是前面多了一段jmp代码········ 这个应该·····


MJ 说:inline是类似的,挂钩者要保证挂钩后,别的挂钩者的正确挂钩功能也正常,另外要考虑已经存在别的挂钩者的时候自身的挂钩也要正常
这属于安全软件挂钩的基本常识了。


上图了:




360EAT后的处理就在这了,你这样难道不是导致火绒失效的原因!!!!!




这就是你所谓的基本常识????说别人的时候,一套一套的,哎。。。360也真让人失望。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zhq445078388
发表于 2012-7-31 15:17:16 | 显示全部楼层
大金鱼先生 发表于 2012-7-31 15:10
不就是前面多了一段jmp代码········ 这个应该·····

EAT不是哦
是类似于ssdt  直接将地址修改了 一般知道的是修改该函数的rav  虽然我没试过 但是想来是这样
让rav+基地址=自己的回调函数
的方式来Hook
其实光这一步对系统的性能影响是0
真正需要注意的是回调都干嘛了..
如果回调跟那死转 那就卡死了
回调处理多久 就会卡多久 如果回调写不好 就会对系统性能造成很大影响

看360netmon的东西很类似output..不知道是不是网络防火墙给整合了?
回复

举报

不知道这是剑
发表于 2012-7-31 15:20:08 | 显示全部楼层
BootMgr 发表于 2012-7-31 15:00
以前就爆过一次了,如果楼主真心承认此帖中的错误并道歉,不再做低级黑,我就再给弱者提供一些帮助,帮 ...

对了MJ,360卫士的漏洞修复完毕后,如果重启时候系统进行更新失败,回滚了,360是否会显示被系统回滚的补丁呢?
回复

举报

大金鱼先生
发表于 2012-7-31 15:21:20 | 显示全部楼层
zhq445078388 发表于 2012-7-31 15:17
EAT不是哦
是类似于ssdt  直接将地址修改了 一般知道的是修改该函数的rav  虽然我没试过 但是想来是这样 ...

额···汇编不好,继续学习·····
回复

举报

vardyh
发表于 2012-7-31 15:22:52 | 显示全部楼层
china_killer 发表于 2012-7-31 15:15
MJ 说:inline是类似的,挂钩者要保证挂钩后,别的挂钩者的正确挂钩功能也正常,另外要考虑已经存在别的 ...

这图我再补充一点,启动顺序是火绒先起,360后启动,
KGetProcAddress("NdisRegisterProtocol")拿到原始地址,钩子里面直接call这个地址必然绕过所有挂在iat上面的钩子。
回复

举报

z13667152750
发表于 2012-7-31 15:24:32 | 显示全部楼层
本帖最后由 z13667152750 于 2012-7-31 15:26 编辑
china_killer 发表于 2012-7-31 15:15
MJ 说:inline是类似的,挂钩者要保证挂钩后,别的挂钩者的正确挂钩功能也正常,另外要考虑已经存在别的 ...


360 的流量监控和comodo的防火墙,avira的防火墙等都可以正常共存,所以。。。。。。

貌似现在还没看到和360不兼容的防火墙

要保证兼容性也应该是后来的主动保证和先来的兼容性吧

而不是先来的主动保证一个可能还没出现的hook方式的兼容性
回复

举报

BootMgr
发表于 2012-7-31 15:28:23 | 显示全部楼层
vardyh 发表于 2012-7-31 15:22
这图我再补充一点,启动顺序是火绒先起,360后启动,
KGetProcAddress("NdisRegisterProtocol")拿到原始 ...

EAT Hook就是如此啊,EAT HOOK如果不调原始的NdisRegisterProtocol要调什么?

你搞明白这个问题没?如果火绒是先启动,已经挂了IAT,那根本就不受360NETMON的EAT HOOK影响,如果是后挂IAT,也等于是覆盖了EAT传递的IAT。
回复

举报

下一页 »
12345678910... 13下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-18 10:58 , Processed in 0.090073 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表