掀起你的盖头来：手工实战Rootkit木马

显示全部楼层 · 发表于 2009-1-18 22:39:18

两个字：期待

P.S看了一下前页的帖，原创先锋太谦虚了。。。

显示全部楼层 · 发表于 2009-1-18 22:40:11

原帖由 银砾石 于 2009-1-18 22:37 发表
NTFS写入搞不定，，做其他的好象也没劲

本来预备写个关于注册表的，但NTFS下写不进去好象没什么用

有用啊，很多人的系统盘都是FAT的，而且写个注册表功能对你来说不难吧，何况现在注册表键值已经被研究透了，病毒也就几个启动方法，你加之整理，相信会很受欢迎的

显示全部楼层 · 发表于 2009-1-18 22:43:52

.....

要写注册表的话也是自己解析啊
哪里不麻烦

先文件系统解析找到注册表文件，再解析注册表，想想就头大，这样应该大部分隐藏对其是无效的吧...

显示全部楼层 · 发表于 2009-1-18 22:43:57

原帖由 曲中求 于 2009-1-18 22:37 发表
从很直白的角度说，问题在于此帖的属性不符。

还谈论到属性了，是隐藏还是只读，还是系统啊，哈哈

我是觉得发那里绝对是人气火爆，还有顺便问下，卡饭能一贴多发吗？

显示全部楼层 · 发表于 2009-1-18 22:45:55

原帖由 银砾石 于 2009-1-18 22:43 发表
.....

要写注册表的话也是自己解析啊
哪里不麻烦

先文件系统解析找到注册表文件，再解析注册表，想想就头大，这样应该大部分隐藏对其是无效的吧...

你从文件层面进行读取，当然不能隐藏啊，不是大部分对其无效，是全部隐藏都无效

显示全部楼层 · 发表于 2009-1-18 22:45:57

不能。

显示全部楼层 · 发表于 2009-1-18 22:47:01

偷笑....

差点忘了，火流星刚加了个HARDLINK提示功能，，刚网站卡得厉害，忘了传。。

显示全部楼层 · 发表于 2009-1-18 22:48:04

哦，谢了，我原来也是觉得不能的，因为看很多帖子被转来转去的

显示全部楼层 · 发表于 2009-1-18 22:50:46

原帖由 银砾石 于 2009-1-18 22:47 发表
偷笑....

差点忘了，火流星刚加了个HARDLINK提示功能，，刚网站卡得厉害，忘了传。。

驱动提示，呵呵，期待你把这个工具完善，可惜不支持NTFS

显示全部楼层 · 发表于 2009-1-18 22:52:07

先上个图预览下吧，今天要休息了

突然想到一个使用的地方--就是文件夹加密的

可以先做好一个HARDLINK，然后一个放外面，一个放待加密的那里，

加密后，如果外面的文件内容变了，那就是真的加密，如果没变，那么可以用这个工具直接查出放到哪了，，有路标呢

回复 49楼银砾石的帖子