关于无驱进R0的限制问题

显示全部楼层 · 发表于 2010-2-7 20:51:51

回复 9# dl123100
　　的确是应该封锁在R3下的权限，不然保护机制太脆弱或容易被钻空子。
　　既然木马开了驱动，为什么还要在R3调用？

显示全部楼层 · 发表于 2010-2-9 11:38:09

回复 dl123100
　　的确是应该封锁在R3下的权限，不然保护机制太脆弱或容易被钻空子。
　　既然木马开了 ...
穿越星空发表于 2010-2-7 20:51

可能是现在的杀软普遍挂了监控用的钩子吧。。R0调用容易被检测到。。
而且就算杀软检测到了，对于R3调用和R0调用处理的方法还是不一样的。。

显示全部楼层 · 发表于 2010-2-9 18:21:37

回复 12# wxb1994
　　虽然R0调用容易被检测到，但是它这么修改系统的行为就不会被发现吗？不是开发人员，具体细节说不上来。

显示全部楼层 · 发表于 2010-2-11 12:21:59

回复 11# 穿越星空

不太清楚。算是提供一个接口，某些地方用NtSystemDebugControl和访问物理内存的话，几行代码就可以解决，相对方便。

[已解决] 关于无驱进R0的限制问题