吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24705|回复: 48
收起左侧

[调试逆向] 微点主动防御软件_逆向_idb

  [复制链接]
sudami 发表于 2010-3-8 20:40
原始出处:http://hi.baidu.com/sudami/blog/item/47b2ac50e26316551038c2ed.html
文章作者:sudami [sudami@163.com]
发布时间2009/08/24

"微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍.在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!

从本资料中您可能获取到如下某些技巧:
1. 加密解密函数
2. IAT HOOK / EAT HOOK / 深度Call Hook / Inline Hook / (Shadow)SSDT Hook及其复杂的处理
3. 部分win32k.sys中的未公开结构及其微点对ShadowSSDT中为公开函数的引用/处理
(比如判断窗体的合法性,并进行可疑度打分)
4. 栈回溯的无所不用其极的极致发挥 / 栈劫持来回滚木马的危害行为
5. 自定义的结构体中的评分机制
6. 瞬间HOOK及其摘除Hook的技巧
7. 对远程线程注入的防范原理
8. 对驱动加载的拦截点及其原理
9. 一种巧妙的混淆IDA的花的运用
10. 驱动间的数据交互 / 内核DLL技术
11. 如何判断当前程序行为的可疑度
12. etc...


btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件

相关参考:
   [1] Bypass 微点主动防御软件
   [2] 微点对MmLoadSystemImage的处理
   [3] 微点在检测IFEO方面好脆弱

MP.IDB-new.090101.V 1.10026_sudami.rar

1.1 MB, 下载次数: 227, 下载积分: 吾爱币 -1 CB

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

YeMelody 发表于 2010-3-8 22:24
哇,好东西呢
guocheng99 发表于 2010-3-9 08:17
hbhgqcyxh 发表于 2010-3-29 20:27
frjiangnan 发表于 2010-3-29 21:45
楼主 问个问题
我好像在咱们的 论坛上看过一个人讲
哪个老外编写了一本 关于Windows 的系统内核 还试解释 Windows 消息钩子的书?
那本书教什么名字
samlyn 发表于 2010-8-3 14:22
楼主太强大了
jiey 发表于 2010-8-13 16:39
哇,这个要支持呢!!!!!!!!!!!!!!!!!
oxoxx01 发表于 2011-4-15 13:27
哇,好东西呢
我喜欢啊
a114367748 发表于 2011-4-15 14:54
看看!!!!!!!!!!
coolfire1983 发表于 2011-4-16 21:53
微点收费啊 没用过呀 尽管听说挺好的!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 10:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表