微点交流论坛

标题: 【killvxk】IFEO的新故事~ [打印本页]

作者: 点饭的百度空间 时间: 2009-2-22 17:41 标题: 【killvxk】IFEO的新故事~

过卡巴斯基主动防御的内核级木马byshell就是他参与合作开发的玩意

2009-02-22 13:57

如何不改名的启动被ifeo劫持的XX,答曰用CreateProcess参数dwCreationFlags带DEBUG_ONLY_THIS_PROCESS或者DEBUG_PROCESS。

改名启动是过去时了....

IFEO是在Ring3完成的，貌似而且不涉及ntdll内部。

所以如果用native api来完成进程启动的话，也是可以绕过ifeo的~

好了，就这样了~

【killvxk】(给微点卡巴防火墙们的建议) 封杀DLL插入式木马的一个思路~
http://bbs.micropoint.com.cn/sho ... p;highlight=killvxk

【主动防御毁灭者killvxk】rootkit新思路10讲对微点主防的一些建议
http://bbs.micropoint.com.cn/sho ... p;highlight=killvxk

作者: mj0011_2 时间: 2009-2-23 11:23
即使加入DEBUG_PROCESS或DEBUG_ONLY_PROCESS,只要在 InitialPeb中加入ReadImageFileExecOptions = TRUE,依然会受镜像劫持的影响，哈哈

作者: mamsds 时间: 2009-2-24 12:11
看下

作者: 点饭的百度空间 时间: 2009-3-28 00:33
再看看

作者: ChiChou 时间: 2009-4-25 11:18

Quote:

Originally posted by mj0011_2 at 2009-2-23 11:23:
即使加入DEBUG_PROCESS或DEBUG_ONLY_PROCESS,只要在 InitialPeb中加入ReadImageFileExecOptions = TRUE,依然会受镜像劫持的影响，哈哈

惊现MJ的MJ。。。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn