» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » [sudami]在拦截远程线程注入上,我比微点做的更好   作者: 标题: [sudami]在拦截远程线程注入上,我比微点做的更好 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  [sudami]在拦截远程线程注入上,我比微点做的更好 WINDOWS内核疯狂爱好者 sudami http://hi.baidu.com/sudami/blog/ ... 2c4ddcb7fd4840.html 2008年12月23日 星期二 02:04 哈哈,技术细节不披露了. 微点在驱动中用了一种方式判定远程注入, 我用了2种方式. 当然公开的方法大家都知道: 判断是否是自己创建的线程,判断受害者是否没有线程. <--- 此方法很容易被病毒木马绕过,仔细想想常用的DKOM等小技巧,自然会知道. 所以2层防御判断显得很重要,这也是难点,嘿嘿. 调试调试,没有调不出来的东西,没有调不出来的秘密,只要你下功夫... 当然,我在选择hook点上做的比微点稳定.考虑了很多因素.ssdt一边去吧. 写代码还是费了点儿时间,不过有了效果. 话说,最近公司的小楼梯很容易让人自残. 珍爱身体,珍爱运动~~~ 【sudami】友情提醒微点的工程师 -- MmLoadSystemImage(微点的响应速度真快) http://bbs.micropoint.com.cn/sho ... mp;page=1#pid291122 【sudami】Anti-MicroPoint without Kill any process http://hi.baidu.com/micropoint/b ... 8c8406738da53c.html ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-12-23 10:35 训导主任 新手上路 积分 28 发帖 28 注册 2007-3-15 #2   你牛逼，可以去应聘微点的技术部了。 ※ ※ ※ 本文纯属【训导主任】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-12-23 14:41 a0531101 中级用户 积分 256 发帖 256 注册 2008-7-24 #3   牛啊!!继续捉虫吧！！ ※ ※ ※ 本文纯属【a0531101】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-12-23 19:45 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号