» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【Azy】寄宿加载：另一种可能? Shit EQ魔法盾 ring3_test.exe_VS_HIPS   作者: 标题: 【Azy】寄宿加载：另一种可能? Shit EQ魔法盾 ring3_test.exe_VS_HIPS 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【Azy】寄宿加载：另一种可能? Shit EQ魔法盾 ring3_test.exe_VS_HIPS 寄宿加载：另一种可能? 2009-04-23    最近逆向的一点思路和总结，旨在分享。 核心思想：借助m$第一方驱动来加载驱动（通常是ZwLoadDriver），绕过一些HIPS/主防之类。谓之“寄宿”加载法（本人独创？） 方法1：dmload法。之前讲过（http://hi.baidu.com/azy0922/blog ... 0941ac4723e875.html），通过创建一个特殊的dmload子键，替换掉dmboot实现重启加载。不过此法又要替换又要重启的，利用价值不大，不过是一个良好思路的开始。 方法2：gpc法。类上，不过只需替换文件，缺点是也要重启加载 方法3：termdd法。通过给termdd设备发送一个特定的ioctl code可实现动态驱动加载，不过该法限定加载进程要具有system权限。远程注射可能不是一个良好的方案（容易被报警），附件里提供了一种可行办法。 附件：http://www.brsbox.com/filebox/do ... 9d3d6069d34458ce6d6 XPSP2，运行a2s.exe，即刻加载dmboot（随便选了一个，只为测效果）。目前测了SSM,RTD没报，EQ报了    欢迎讨论 Shit EQSecure ring3_test.exe_VS_HIPS 2009-05-07 19:15 下载链接：http://www.brsbox.com/filebox/do ... 9bfef4650a2d509c972 [ Last edited by 点饭的百度空间 on 2009-6-1 at 00:14 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-5-8 09:34 狙击virus 注册用户 积分 162 发帖 162 注册 2008-11-25 #2   思路很不错    不知道有类似的样本没有 ※ ※ ※ 本文纯属【狙击virus】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-5-8 14:59 HomeSGerMine 银牌会员 ■■微点护卫队队长■■ 积分 4888 发帖 4785 注册 2009-3-8 来自 哪里有微点，哪里就有我 #3   实践是检验真理的唯一标准... ※ ※ ※ 本文纯属【HomeSGerMine】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 东方之荣耀，  中华之微点！---Microp●int 2009-5-8 19:46 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #4   检查 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-6-1 00:11 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号