与影子系统客服交流记

显示全部楼层 · 发表于 2009-5-8 18:40:38

原帖由 shinequan 于 2009-5-8 18:36 发表
我知道，可是UNLOAD驱动关键又是什么呢？替换！那么又有没有可能在不加驱，不UNLOAD驱动的情况下，直接替换呢？（我又说了一遍…）

我觉得我没必要在回复你这个问题了，你知道明天世界不会消亡，可是偏偏想着会消亡，我也帮不了你

显示全部楼层 · 发表于 2009-5-8 18:43:33

汗…又要绕弯子了…能不能干脆点，能或者不能！

显示全部楼层 · 发表于 2009-5-8 18:48:28

穿不穿得透与是不是替换beey.sys来加驱的方法无关，替换beey.sys加驱只是一种绕过某些安全软件获取ring0权限的手段而已，所以说最终决定穿透的并不在于加驱的方法而是在于获取ring0权限后所做的特定操作，至于是什么样的操作也只有那些懂行的大牛们知道了。

显示全部楼层 · 发表于 2009-5-8 18:50:25

他说的不是指beey，说的是“硬件驱动”替换

显示全部楼层 · 发表于 2009-5-8 18:53:17

怎么个替换法？

显示全部楼层 · 发表于 2009-5-8 18:53:28

你的意思就是说可以先替换，再加载？

显示全部楼层 · 发表于 2009-5-8 18:57:58

先释放加载自身驱动，再卸载硬件驱动，替换之，理由是某些影子对比他先加载的硬件驱动无法重定向。
我想是否可以什么都不干，直接替换硬件驱动，去穿透

显示全部楼层 · 发表于 2009-5-8 19:01:21

钱是最重要的

显示全部楼层 · 发表于 2009-5-8 19:03:28

想入非非，一个右键加载的dll还得先反注册一下才能替换呢，这还是已经在运行的驱动，什么都不干，你能替换得了？

显示全部楼层 · 发表于 2009-5-8 19:04:30

我上面已经说了替换驱动文件加驱的方法只是用来绕过某些主防获取R0权限的手段，它只是一种加驱的方法与影子是不是被穿无关。

回复 107楼 shinequan 的帖子