本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 15640|回复: 41

有请xikug,很想看看那个《任意位置加载XX》 [复制链接]

Rank: 1

发表于 2008-6-6 16:44:35 |显示全部楼层
xikug ,上次私下跟你说要购买声望的要学习一下《任意位置加载XX》,还记得不,不过你不同意。呵呵。。自己努力的学习,有一个方法,当然了,也许诸如mj,killvxk等大牛不屑一顾,对我等菜鸟是一大进步呢。呵呵。。


小弟我业余时间研究安全的,纯属爱好,目前做的跟安全一点关系也没有,但是对安全很有兴趣,所谓,无限风光在险峰。所有学到关于安全方面的东西均来自网上,有幸看到了替换beep加载驱动的东西,认真学习了一下,结合以前所学,还有大牛公开的很多技巧,总结了一个加载驱动的方式,我测试可以过卡巴7,瑞星最新版,kv2008.

说说我的思路,我真诚的希望可以看看那篇文章,我只是希望而已,没有什么交换的意思。。

前言:本人是菜鸟,希望大牛们看完不要笑话我才好!还有,昨晚看完xikug的rct成员介绍,热血沸腾,我打算认真的修炼,希望有朝一日可以请xikug出题,加入rct。


我测试的卡巴 瑞星,kv 他们对驱动的拦截 ,以前的SetSystemInfomation等就不说了
卡巴 主要是对注册表的Service键监控严格,System32\Drivers监控不严格,所以替换beep可以过
kv , 刚好跟卡巴想反,所以替换service下的键是可以过的。
瑞星,2者都有。

有一种方法,3者皆过,思路如下:(再强调一下,是结合网上公开的方法,并非原创,所以大牛们千万不要数落我,谢谢!)

1. 搜索系统下未加载的驱动(状态为SERVICE_STOPPED)获得他的驱动所在路径和驱动名称
2. 查找HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的键值是否有跟1保存的名称是否一样,一样的话就是到第3点
3. dump 到 任意名称.hiv              Restore到没有监控的任意注册表位置
4. 修改相应键值的ImagePath 为你的驱动路径(任意路径下,最好是没有被监控的位置,如temp)
5. 类似第3步,恢复到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下。
6. 加载1检测到的未加载的驱动。。


很认真的写完了,不晓得有无副作用。。仅供参考

Rank: 1

发表于 2008-6-6 17:03:00 |显示全部楼层
难得的声望啊 谢谢diyhack

Rank: 9Rank: 9Rank: 9

发表于 2008-6-6 18:03:58 |显示全部楼层
不错。。。
我们欢迎各种各样的技术交流
悟空,退下,为师一个人就够了

Rank: 1

发表于 2008-6-6 18:12:20 |显示全部楼层
刚才买了,可是没法回复,50 DM币白白丢了, 还是一句话:这年头骗子真多,防不胜防啊。。。

Rank: 1

发表于 2008-6-6 18:23:40 |显示全部楼层
引用第3楼HSQ于2008-06-06 15:12发表的  :
刚才买了,可是没法回复,50 DM币白白丢了, 还是一句话:这年头骗子真多,防不胜防啊。。。

那也没有办法了哦 。 自己努力研究研究 说不定有更好的方法

Rank: 1

发表于 2008-6-6 18:36:59 |显示全部楼层
即使论坛很多东西是看不到,但这也不要紧,东西都是人整出来的,只要别人行,相信自己也不难实现。 关键得明码标价,不要耍人玩啊

Rank: 1

发表于 2008-6-7 11:31:38 |显示全部楼层
思路很好  适合我等小菜!  不过要是被别有用心的人看到了。。。。

Rank: 1

发表于 2008-6-7 12:19:17 |显示全部楼层
给我看看 那个 任意位置加载驱动 吧。。。 谁看过的私下给我发一个  拜谢。。。。。。。。

Rank: 2

发表于 2008-6-7 13:00:15 |显示全部楼层
引用第7楼未来世界于2008-06-07 09:19发表的  :
给我看看 那个 任意位置加载驱动 吧。。。 谁看过的私下给我发一个  拜谢。。。。。。。。


少看一个代码有那么重要么,你不是要干坏事吧。人家不说总有人家理由呀,没学到这个那学其他呗,学无止境,学嘛不是学。

Rank: 1

发表于 2008-6-7 13:16:10 |显示全部楼层
那个贴子诱惑挺大的啊.嘿嘿.
以前有人在论坛公开发一个贴子刷威望就是为了看那个.
其实里面就只有几句话,一种思路. :)

Rank: 1

发表于 2008-6-7 16:29:21 |显示全部楼层
重要的思路 只有自己学习研究出来的 才是最好的 永远别等待..  

Rank: 2

发表于 2008-6-7 17:32:23 |显示全部楼层
要么你就是技术极其nb,自己去研究内核,估计可以搞出来,要么就要猥琐一些,通过一些奇技淫巧来搞 呵呵

Rank: 1

发表于 2008-6-7 18:12:38 |显示全部楼层
引用第8楼dircls11于2008-06-07 10:00发表的  :


少看一个代码有那么重要么,你不是要干坏事吧。人家不说总有人家理由呀,没学到这个那学其他呗,学无止境,学嘛不是学。

切 干坏事 我发的这个帖子就够了

Rank: 2

发表于 2008-6-7 18:52:36 |显示全部楼层
引用第12楼未来世界于2008-06-07 15:12发表的  :


切 干坏事 我发的这个帖子就够了

哦,明白了,你不是想干坏事,是想干很坏的事,这个帖子不够。嘎嘎

Rank: 1

发表于 2008-6-8 18:11:11 |显示全部楼层
哥们  我昨天看完  今天实现了你说的方法  卡巴7会报
可能是我理解有错  卡巴HOOK了Restore啊    向Service恢复时不会报吗

Rank: 1

发表于 2008-6-8 22:07:26 |显示全部楼层
引用第14楼yiyiguxing于2008-06-08 15:11发表的  :
哥们  我昨天看完  今天实现了你说的方法  卡巴7会报
可能是我理解有错  卡巴HOOK了Restore啊    向Service恢复时不会报吗

兄弟, 我再次测试了一下 确定是ok的。。。卡巴7 主防全开

Rank: 1

发表于 2008-6-8 22:09:26 |显示全部楼层
引用第14楼yiyiguxing于2008-06-08 15:11发表的  :
哥们  我昨天看完  今天实现了你说的方法  卡巴7会报
可能是我理解有错  卡巴HOOK了Restore啊    向Service恢复时不会报吗

对卡巴7  替换文件就ok 了。。 我感觉我的方法不是非常完美。

Rank: 5Rank: 5

发表于 2008-6-8 22:25:41 |显示全部楼层
此方法已经我已经放过了~
在某XX木马中

Rank: 1

发表于 2008-6-8 23:05:53 |显示全部楼层
引用第16楼未来世界于2008-06-08 19:09发表的  :


对卡巴7  替换文件就ok 了。。 我感觉我的方法不是非常完美。


恩  可能是我理解有误  我再考虑一下  人笨没办法!

Rank: 1

发表于 2008-6-9 00:23:39 |显示全部楼层
引用第18楼yiyiguxing于2008-06-08 20:05发表的  :



恩  可能是我理解有误  我再考虑一下  人笨没办法!

killvxk 已经说放过了 晕S  。。。


引用第17楼killvxk于2008-06-08 19:25发表的  :
此方法已经我已经放过了~
在某XX木马中

看看我多么的孤陋寡闻啊 killvxk大牛 那篇《任意位置XXXX》 还没有来得及赚dm币 就关闭了
看不到了啊。。。
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-6-26 15:04 , Processed in 0.031749 second(s), 8 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部