寻求木马穿透还原软件保护的原理

显示全部楼层 · 发表于 2009-9-30 23:13:49

寻求木马穿透还原软件保护的原理
大概说一下现在流行的一些方法!现在是不是都用那个什么ring3之类的底层穿透啊？

显示全部楼层 · 发表于 2009-9-30 23:19:59

还原软件保护靠过滤驱动，就是一般扩展名为sys的文件，驱动运行依赖相关系统函数，如果互相找对方的漏洞，就是主要在函数上做文章，找出不严谨或考虑不周的地方再做出相应改动即可突破。。。

显示全部楼层 · 发表于 2009-9-30 23:27:38

当然一般来说确实比较底层。只有ring0层的应用程序才可以直接和硬件通信，其他层的就必须通过hal.dll来调用相应的api才可以和硬件通信。
－－－－－－－－－－－－－－－－－－－－－－－－－－
从内到外结构一般是这样的：
ring0,ring1,ring2,ring3

显示全部楼层 · 发表于 2009-9-30 23:36:48

这个是你现在的防护？RVS+SD+SSM
这个组合很有问题，前面两个只要一个就够了，道理很简单，还是过滤驱动的问题。

显示全部楼层 · 发表于 2009-10-1 04:15:36

简单例子机器狗 HOOK磁盘通过驱动来替换程序·· 欺骗引导区 RING3下穿透还原的机器狗MJ有的···

[ 本帖最后由 meishizhao 于 2009-10-1 05:08 编辑 ]

显示全部楼层 · 发表于 2009-10-1 11:38:12

　　在开机启动后，先于还原软件抢占磁盘控制权，以实现穿透还原。

显示全部楼层 · 发表于 2009-10-1 12:46:06

NTFS.SYS PARTMGR.SYS FTDISK.SYS XXX.SYS（这里是还原软件的驱动） DISK.SYS CLASSPNNP.SYS 到ACPI 到ATAPI
我们可以自己绕过上面的驱动发送IRP 给ATA ····
。。。其实只是理论操作性很强···

[已解决] 寻求木马穿透还原软件保护的原理