麻烦看看这几个未知模块怎么回事？

显示全部楼层 · 发表于 2009-2-18 11:01:36

上面安装红伞后的ssdt hook可能抹掉了路径，大多数ssdt detector都显示为未知或者显示CALL或者JMP之类的。
wsyscheck本身检测方式有问题，检测不了call、jmp等指令的hook地址，所以显示null.sys被hook了。
另附wsyscheck检测fsd hook时的截图一张。

XueTr如果继续跟踪下去就成智能ark工具了。

显示全部楼层 · 发表于 2009-2-18 11:20:06

我怎麽记得这个hal。dll是某个安全软件的文件呢

显示全部楼层 · 发表于 2009-2-18 16:35:36

hal.dll=Hardware Abstraction Layer 硬件抽象层
明显wsyscheck检测hook方式有问题，容易误导人。

显示全部楼层 · 发表于 2009-2-18 17:01:47

谢谢dl123100兄的探究
我还没研究过这个问题呢  还以为是XueTr无法正确检测导致的呢

本来是想在驱动中加入虚拟机来检测这些东西，后来想一想  虚拟机代码太多
我怕用虚拟机来检测不稳定  因此没弄了

显示全部楼层 · 发表于 2009-2-18 18:09:12

原帖由 Deker 于 2009-2-18 17:01 发表
谢谢dl123100兄的探究
我还没研究过这个问题呢  还以为是XueTr无法正确检测导致的呢
本来是想在驱动中加入虚拟机来检测这些东西，后来想一想  虚拟机代码太多
我怕用虚拟机来检测不稳定  因此没弄了

是指虚拟一个环境来检测吗？跟杀软高启发一样？

显示全部楼层 · 发表于 2009-2-19 00:38:44

就是把hook那部分代码，放虚拟机里虚拟执行，最后跟踪到真实模块地址

跟高启发的虚拟执行还是有区别的在启发式里是要找行为而我是要跟踪地址

BTW：我不看好用虚拟机技术来启发杀毒。。。

显示全部楼层 · 发表于 2009-2-19 01:12:51

那应该是NonPagedPool
很多程序喜欢这样子搞

[求助] 麻烦看看这几个未知模块怎么回事？

评分

评分