shulun743 - 2014-10-17 15:26:00
http://bbs.kafan.cn/thread-426752-1-1.html希望能改进 钩子,增强自保
用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER
shulun743 - 2014-10-17 15:27:00
一、东方xxx为了保护自身进程,直接修改了NtTerminateProcess、PspTerminateProcess、NtOpenProcess三个内核文件;
二、东方xxx为了保护自身线程,通过修改 PsTerminateSystemThread 将对 PspTerminateThreadByPointer 的调用改为对 HookOfPspTerminateThreadByPointer 的调用,大概是针对目前流行的搜索 PspTerminateThreadByPointer 地址的方法而采取的措施,因为这样修改后,其它驱动程序基本上就搜索不到 PspTerminateThreadByPointer 的地址了。比较奇怪的是,xxx未对 PspTerminateThreadByPointer 进行挂钩,所以如果通过其它办法得到该地址,xxx就防不住了。采取IAT钩子的办法,修改其它所有驱动程序的 KeInsertQueueApc 地址,使其不能直接在xxx线程中插入APC。
瑞星工程师12 - 2014-10-17 15:39:00
已收集。
© 2000 - 2025 Rising Corp. Ltd.