标题: [sudami]在拦截远程线程注入上,我比微点做的更好 [打印本页]

---

作者: 点饭的百度空间     时间: 2008-12-23 10:35    标题: [sudami]在拦截远程线程注入上,我比微点做的更好


WINDOWS内核疯狂爱好者 sudami
http://hi.baidu.com/sudami/blog/ ... 2c4ddcb7fd4840.html


2008年12月23日 星期二 02:04

哈哈,技术细节不披露了. 微点在驱动中用了一种方式判定远程注入, 我用了2种方式. 当然公开的方法大家都知道: 判断是否是自己创建的线程,判断受害者是否没有线程. <--- 此方法很容易被病毒木马绕过,仔细想想常用的DKOM等小技巧,自然会知道. 所以2层防御判断显得很重要,这也是难点,嘿嘿. 调试调试,没有调不出来的东西,没有调不出来的秘密,只要你下功夫...

当然,我在选择hook点上做的比微点稳定.考虑了很多因素.ssdt一边去吧. 写代码还是费了点儿时间,不过有了效果.


话说,最近公司的小楼梯很容易让人自残. 珍爱身体,珍爱运动~~~


【sudami】友情提醒微点的工程师 -- MmLoadSystemImage(微点的响应速度真快)
http://bbs.micropoint.com.cn/sho ... mp;page=1#pid291122

【sudami】Anti-MicroPoint without Kill any process
http://hi.baidu.com/micropoint/b ... 8c8406738da53c.html

---

作者: 训导主任     时间: 2008-12-23 14:41
你牛逼，可以去应聘微点的技术部了。

---

作者: a0531101     时间: 2008-12-23 19:45
牛啊!!继续捉虫吧！！

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn