与影子系统客服交流记

显示全部楼层 · 发表于 2009-5-8 20:47:04

说的在明白点吧，要不是某些主防讨厌，病毒作者根本没必要通过替换系统驱动的方式来加载驱动K主防和影子了。

显示全部楼层 · 发表于 2009-5-8 20:53:52

难道第一个驱动是为了卸载硬件驱动，第二个驱动是为了替换和破坏？

显示全部楼层 · 发表于 2009-5-8 20:54:42

名字很诱人pcidump

显示全部楼层 · 发表于 2009-5-8 21:06:18

等2009出来再说,rvs3,快了,今年有希望

显示全部楼层 · 发表于 2009-5-8 21:13:16

看来你还是没明白我的意思，以beep.sys为例子，在早期（也就是机器狗猖狂的那段日子）某些拥有主防功能的杀软或驱动防火墙会拦截驱动的加载，这严重影响到了机器狗的传播和对还原类软件的穿透功能，所以病毒作者为了绕过这些安全软件便搞出了个通过替换系统驱动文件beep.sys加载驱动的方式（那个时候部分软件对于这种加驱方式是不拦载的），这种替换加驱方式并不需要重启系统只需几个api就可以停掉beep驱动服务然后替换加载就行了，驱动加载之后的会发生什么我想就不用我说了吧，所以说替换的目的只是为了绕主防而真正的穿透行为是在加驱之后的事，如果你只让它替换不让它加驱你看它怎么个穿法。

[ 本帖最后由 tanlimo 于 2009-5-8 21:17 编辑 ]

显示全部楼层 · 发表于 2009-5-8 21:14:26

终于看完了，整整18页...
做个标记。等待后续讨论

显示全部楼层 · 发表于 2009-5-8 21:15:06

楼上的是beep把,beey没见过

显示全部楼层 · 发表于 2009-5-8 21:17:01

抱歉打错了

显示全部楼层 · 发表于 2009-5-8 21:19:56

我感觉97或者谁应该把那俩驱动的样本给tanlimo

显示全部楼层 · 发表于 2009-5-8 21:23:47

最后一句在解释一下，不明白

与影子系统客服交流记

回复 172楼 shinequan 的帖子

回复 166楼 fufuji97 的帖子

回复 177楼 ssyknuwyg 的帖子

回复 175楼 tanlimo 的帖子