瑞星卡卡安全论坛

讲义打包下载在8楼

 附件: 您所在的用户组无法下载或查看附件

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

本次课程主要以了解为主，有些API函数不知道没关系，主要以后面的杀毒方法为主要掌握的知识。

附件: 流行概况以及手动查杀方法 讲义图.rar

搬个小板凳 来学习:kaka9:

站个座先、、、
马上看讲义！:kaka1:




 附件: 您所在的用户组无法下载或查看附件
下面那个图不太明白。。。
修改函数地址的SSDT hook 先是通过函数的调用查到了SSDT的索引表 ，通过 ntdll  把SSDT中的内容改了。。就是ring3到ring0通道的改了。
这样在进行ring 两个层次的交互中病毒利用这个会瞎搞。。指引到不正确的方向。
打个比喻有一条路 两个岔口  ，一个叫ring3 一个叫ring0    由ring3到ring0的路怎么走你不知道。
我们没去过这个地方，打电话问中国北斗（不用老美的GPRS）路怎么走的。他通过告诉你（SSDT）。但是出现信号干扰（通过函数调用产生的ntdll），把北斗告诉你的正确路的法子搞错的了（出现系统服务陷阱）。引导了一条不归路上。这样病毒的目的就达到 了。。
请问老师这样理解对吗？

学习……

学习一下:kaka1:

学习中.

来学习了。

:kaka1: 开始努力

先下下来慢慢研究,不是很习惯这样看!:kaka1:

很不错，看过之后才知道一些病毒手段多强大，都跑到内核去作祟了
一些内核函数搞不清楚了，还不知道干嘛的，自己查查先

这个好看，我喜欢

边听课边偷偷玩游戏..

有个座位是必须的，虽然讲义我已经下载了很久了~~~~

学习

前排都坐满了哈，我坐第三排
刚刚找了本计算机病毒及其防范技术，想对这点多了解了解

按照讲义的说法~ 冰刀应该算是最好用的工具了 相对功能最全面吧？？？ 找一个学学

老师，请问一下
增加一个节并修改入口点感染  中的“节”是字节吗？
谢谢老师啦！~

不是字节  是 PE结构中的“区段”

GGS DDU
不是水帖 好好学习 天天向上

老师！如果病毒侵入系统内核，也就是说运行于Ring0级别，那么一般的杀毒软件是不是对之失效了呢？就比如瑞星，卡巴，江民，金山等，它们都是运行于Ring3级别吗？病毒是不是很难侵入系统内核，是不是很难运行于Ring0级别？如不然杀软存在的必要性也要受到质疑了。有没可能让杀软比如说瑞星像冰刃那样可以底层查杀，能不能让瑞星在Ring0级别运行呢，那样的话不就是无敌了。不过这样的话对系统稳定性应该会有影响吧。:kaka2:

首先SSDT并不是ntdll导出的 是ntoskrnl.exe导出的 ntdll里面只是SSDT的一个索引表 比如我要调用NTWriteFile这个函数  ntdll给出的是这个函数在SSDT中的第几个的这个位置
反汇编一下ntdll 随便找个函数
mov    eax, 0EAh      ; NtSetLowEventPair
mov    edx, 7FFE0300h
call    dword ptr [edx]
retn    4
mov    eax, 0EAh  这个0EA 就是 那个 函数 在SSDT中的 位置

比如 我想调用某个函数，会向ntdll问 某个函数 在SSDT中是第几个，然后 这个序号 通过一个  服务转发器也是一个函数，那个服务转发器  去查询  SSDT中 这个位置的 那个函数地址，再去那个地址去调用真正的函数

杀毒软件都是运行于ring0级别的
但运行在ring0级别不等于就无敌了  病毒和杀软都在ring0 大家权限都一样  谁都可以干死谁

:kaka6: 是这样啊，我还以为试运行于Ring3级别的呢。呵～