点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 【hljleo】微点驱动mp110008.sys的一个bug
广东 佛山
总是活在于憧憬之中,却忘记了生活的残酷,惟有忘记,才能走得更远
没事检查一下微点的驱动,,发现mp110008.sys存在bug,,,
winbg截图如下:
我想该驱动程序访问可换页的数据或代码时正好处理器处于一个提升的irql级别上,,而平时没有发生bug是可换页数据当时正好碰巧驻留在内存中,所以系统不会检测到它正在访问可换页数据的情形。
自己知识面浅薄,,不知道是否分析正确。。。。。。
--------------------------------------------------
【hljleo】干掉微点等xx (主界面~) 样本已发
http://bbs.micropoint.com.cn/showthread.asp?tid=41827&fpage=1
【sudami】
俺没看你滴驱动,估计啊是hook obxxx之类的,然后微点就初始化错误了...
嘿嘿,其实,只要驱动加载了,什么事都能干啦,把微点的文件删光,进程杀完,都是可以滴~~~
所以,我们要向anti-rootkis/anti-virus方向发展才是~~~
【Sysnap】
其实就是hook NtCreateSection
我郁闷的是SSDT也能搞定微点..微点可能做得太深漏了其他地方了..
【hljleo】
我也觉得有点奇怪。。。。。
hook 得很浅的,,,,,把微点的文件删光,进程杀完实现起来还是比较麻烦的。。。。。。
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
