冰冻精灵为什么像Rootkit一样工作？

FreeEquFraT

回复 8楼 lovehhy 的帖子

呵呵，几年前几个软件会什么SSDT啊、FSD啊之类的，现在还不是一大片。现在不这么做不代表以后不会这么做。不过我觉得这个软件稍微懂一点的人可能更明白一些，小白的话可能作者在介绍上不是说的太清楚吧。

FreeEquFraT

回复 10楼 darkwolf_99 的帖子

作者可能是不想再弄了吧，关于这个随机驱动的问题，有能力的可以自己调试分析一下就大概知道了

dl123100

lovehhy 发表于 2011-1-19 18:22
防穿有很多办法的，为什么非要自己本身就跟病毒一样工作？
不要说64位下根本没法用了，本身在32位下就极 ...

冰冻精灵的这些手段并没有违反x64的Kernel Patching Policy，都是可以用的。

showzhan

回复 1楼 lovehhy 的帖子

我也安装了冰冻精灵.我不知道为什么没有出现这类情况...冰冻精灵很注重防御..本人也是菜鸟一个..你说什么驱动防火墙什么的我倒不知道..

还有对象劫持的.

nazisoft

就是为了防穿，冰冻精灵的工作原理与360还原保护器非常类似，都是要开机加载驱动的，唯一不同的是随机命名然后自我删除。冰冻精灵和360还原保护器都没有像驱动防火墙那样搞驱动过滤、拦截驱动，只是监视了Atapi和IRP发送而已，挂钩了许多其它还原软件不敢挂钩的，肯定会导致应用程序兼容性障碍甚至会影响稳定性，比如和virtual drive manger、U盾冲突。原本认为lovehhy是个大牛，想不到这个简单的问题还大惊小怪，看来楼主喝了几年洋墨水，能力一定不一般，如果开发出了还原产品，我一定第一个购买使用

showzhan

可以说的是.他上述表明截图说明我都没出现..这又是怎么回事呢....

nazisoft

回复 16楼 showzhan 的帖子

晚上我用狙剑、Xuetr等做了实机测试，证明楼主说的是事实。在冰冻精灵+360还原保护器的保护下试图摘除冰冻精灵的磁盘保护驱动结果没有成功，脱链无法进行。冰冻精灵的确劫持、HOOK了一大堆东西，而且加载驱动十分低层。一时好奇去摘除了磁盘和卷的驱动，结果竟然没蓝屏，接着对冰冻精灵劫持和hook的部分对象成功的进行恢复、脱钩，再开设备管理器，发现新硬件磁盘驱动器，发现原本4个分区变成8个了向每个分区写入几个文件，再开设备管理器结果机器被某程序强行暴力重启了，重新启动后系统恢复初始状态看来这组合还是值得信赖的！

轻闲一柳

回复 17楼 nazisoft 的帖子

不加360还原保护器，有没有这么强悍？

lovehhy

nazisoft 发表于 2011-1-19 22:24
回复 16楼 showzhan 的帖子

晚上我用狙剑、Xuetr等做了实机测试，证明楼主说的是事实。在冰冻精灵+360还原 ...

加载驱动十分底层，哈哈，怎么底层法？

lovehhy

nazisoft 发表于 2011-1-19 22:24
回复 16楼 showzhan 的帖子

晚上我用狙剑、Xuetr等做了实机测试，证明楼主说的是事实。在冰冻精灵+360还原 ...

劫持了哪个对象，脱钩了哪个Dispatch？请详细说明