好友
阅读权限40
听众
最后登录1970-1-1
|
原始出处:http://hi.baidu.com/sudami/blog/item/47b2ac50e26316551038c2ed.html
文章作者:sudami [sudami@163.com]
发布时间:2009/08/24
"微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍.在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!
从本资料中您可能获取到如下某些技巧: 1. 加密解密函数
2. IAT HOOK / EAT HOOK / 深度Call Hook / Inline Hook / (Shadow)SSDT Hook及其复杂的处理
3. 部分win32k.sys中的未公开结构及其微点对ShadowSSDT中为公开函数的引用/处理
(比如判断窗体的合法性,并进行可疑度打分)
4. 栈回溯的无所不用其极的极致发挥 / 栈劫持来回滚木马的危害行为
5. 自定义的结构体中的评分机制
6. 瞬间HOOK及其摘除Hook的技巧
7. 对远程线程注入的防范原理
8. 对驱动加载的拦截点及其原理
9. 一种巧妙的混淆IDA的花的运用
10. 驱动间的数据交互 / 内核DLL技术
11. 如何判断当前程序行为的可疑度
12. etc...
btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件
相关参考:
[1] Bypass 微点主动防御软件
[2] 微点对MmLoadSystemImage的处理
[3] 微点在检测IFEO方面好脆弱 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2010-3-8 20:40
发表于 2010-3-8 22:24
