关于无驱进R0的限制问题

显示全部楼层 · 发表于 2010-2-4 23:10:44

本帖最后由穿越星空于 2010-2-11 19:52 编辑

今天，wxb1994朋友跟我说，无驱进R0的功能和有驱的相差很多，只是能恢复SSDT表，IDT、FSD还有内核的钩子都无法恢复，请教是这样吗？
如果是的话，那是为什么？同样是R0还有区别？
那如果无驱进R0了进入之后可以再次加载驱动吗？

显示全部楼层 · 发表于 2010-2-4 23:15:07

syscheck2可以无驱进R0，强度还可以，wsyscheck的前身

显示全部楼层 · 发表于 2010-2-5 00:38:09

回复 2# tawny2008
　　多谢指教，我想知道更具体些的内容，一直以为无论是否有驱，进R0后都是一样的。

显示全部楼层 · 发表于 2010-2-6 22:18:36

本质上来说无驱进R0之后的权限和进R0的方法有莫大的关系。。
这个我不在行，建议找username

显示全部楼层 · 发表于 2010-2-6 22:26:01

回复 4# IllusionWing
　　总算等来您的指教了，不过方法我不关心，我想知道进去之后所能够进行的操作是否一样，我1楼中的表述来看，没有驱动的话所有的权限相当有限，是这样吗？
　　username没见到过啊，是何方高人？

显示全部楼层 · 发表于 2010-2-6 22:27:44

回复 5# 穿越星空

你的论断不对。
我的也不一定对。
username去hips区就行了。

显示全部楼层 · 发表于 2010-2-6 22:28:35

回复 6# IllusionWing

　　你的意思是我的表述不对，还是我的观点本身有误呢？
　　HIPS区也去的，没见到他过。

显示全部楼层 · 发表于 2010-2-6 22:40:11

回复 7# 穿越星空

主要活动在MD区和HIPS大区

显示全部楼层 · 发表于 2010-2-7 18:10:06

本帖最后由 dl123100 于 2010-2-7 18:13 编辑

都是可以恢复的，只不过不用驱动不是很方便，很多地方不像驱动那样有现成的可以套用。另外都有缺陷，稳定性一般也不行。
2003 SP1以后封了Ring3下的NtSystemDebugControl和访问物理内存，Vista以后直接操作磁盘、duplicate system handle等都不行了。
现在无驱进Ring0，除了利用内核漏洞外，基本没办法了，所以无驱进Ring0基本不用考虑（某些木马为了方便，专门开了驱动允许Ring3调用NtSystemDebugControl和访问物理内存进Ring0，这个不算）。
当然最近瑞星的那个NtGdi的洞和NtVDMControl的漏洞，最近看到一堆木马在用。代码网上都有，楼主可以去看下不同于NtSystemDebugControl和访问物理内存的方法。

显示全部楼层 · 发表于 2010-2-7 20:20:54

额，学习了，不过没驱动恢复钩子确实不方便。

[已解决] 关于无驱进R0的限制问题

评分

评分

评分