shulun743 - 2011-5-13 9:43:00
ring3下感染驱动->恢复ssdt
http://www.debugman.com/discussion/2785/ring3%E4%B8%8B%E6%84%9F%E6%9F%93%E9%A9%B1%E5%8A%A8-%E6%81%A2%E5%A4%8Dssdt/
通过直接恢复SSDT(系统服务分派表)的方式解除核心原生API钩子
http://blog.csdn.net/s_ongfei/archive/2008/12/11/3500391.aspx
发现瑞星在对抗 恢复 ssdt 上存在弱点 ,只要ssdt被恢复 ,瑞星 就挂了 ,不能 自动挂接 ssdt
而 江民 x 都能自动挂接 ,建议 瑞星能改进!!!
先传上 网址 ----关于ssdt的
病毒样本 后续 上传
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
能帮一个算一个 - 2011-5-13 10:47:00
看看样本测一下玩玩:kaka12:
fyang89757 - 2011-5-13 17:45:00
开启磁盘底层防御可以拦截吧
shulun743 - 2011-5-14 9:10:00
系统:windows xp-sp3
浏览器:ie6
操作:运行样本,触发系统加固和行为防御 ,全部 允许。
结果:病毒 加载 beep驱动后 ,还原了 瑞星的 ssdt ,造成 瑞星失效,并且 病毒接管了硬盘控制权 ,穿透 还原卡!
附件:
引申--穿透SSDT 还原卡.rar 附件:
Crypted_复件 (3) 1.rar
一梦睡千年 - 2011-5-14 13:43:00
确实穿透:kaka6:
newcenturymoon - 2011-5-14 14:10:00
恢复SSDT很容易 既然人家都提醒你了 你为什么要点允许呢 按照你说的做"Inline hook"就没事了 如果那个时候 人家还提醒你 你还允许 一样可以被干掉
© 2000 - 2025 Rising Corp. Ltd.