[神经质]shadow Defender的转储功能是否有问题？

spiha

最近转用shadow Defender了 ..
大体上觉得都不错 只是对那转储功能有点点意见

1.转储功能应该是在驱动上实现的吧？
但是实际上操控着转储的却是ring3下的Defender.exe的

2.现在Defender.exe最多只有密码上的保护 关于Defender.exe存放密码的地点有以下几种可能性
1.文件 （SD内部排除该位置）
2.注册表  （SD内部排除该位置？ .. 注册表不是也是文件么 ..这个不怎么可能）
3.扇区 （最有可能..）
实际上我没有考究...

3. Defender.exe转储的时候实际上不会有文件hash值效验
再经过用多次c32或od来改Defender.exe使它的文件hash值改变 却一样可以转储
而且 效验密码的也是Defender.exe本身 ... 不排除有暴力破解的可能...
不过语言文件是外挂的 ... 结果对我等小白来说w32字符串大法是不行了 ...
od的api断点应该可以 但是我不怎么会用 ...

4.假如明白Defender.exe通知驱动转储的原理 自己做一个相似的程序 也应该是可以做到ring3下绕过shadow Defender的... 那样子就太危险了orz － － ...

以上是我的妄想 .... 如果有啥不对的请多多指点
或者 有人可以去跟SD的开发组谈谈么？ ...
好像卡饭的大家都是keygen注册用户就是了 ..

另外 极度怀念power shadow的开机菜单选择影子模式的方法 ..
希望有能联系到SD开发组的跟他们建议下..
我不懂英文


--------------------

竟然不小心发hips区了 .. 又要麻烦版主移动..

[ 本帖最后由 spiha 于 2008-3-11 17:37 编辑 ]

RUBIN158

有点想法

sxingbai

偽裝程序如何與它的驅動通信？
我不懂，亂說的

spiha

嗯 楼上的
现在就是说没发现SD用什么方法来检测那个是不是伪装程序

至少不是靠文件hash值和文件路径

SONGBOWEN

额，我倒是想和SD官方沟通一下这些内容，呵呵，感谢楼主提供相关建议和信息，我最近会收集相关信息，与SD官方沟通一下的。

sxingbai

宋版
我這裡最新版裝不了
之前的版本都可以
也代為反映下吧

SONGBOWEN

原帖由 sxingbai 于 2008-3-11 20:00 发表
宋版
我這裡最新版裝不了
之前的版本都可以
也代為反映下吧

这个不用我来了吧。。。。

我都不知道相关的信息-.-

魔性天使

我觉得这个软件不错

SONGBOWEN

我也觉得不错，所以才愿意与他们的客服联系，如果换成某些国产厂商，我才不管呢。。。

spiha

原帖由 SONGBOWEN 于 2008-3-11 20:12 发表
我也觉得不错，所以才愿意与他们的客服联系，如果换成某些国产厂商，我才不管呢。。。

很好很感谢 ... 那我就等待官方的答复了~~