123456   2  /  6  页   跳转

“磁碟机”病毒的作者看过来!

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2008-01-19 19:40 | 短消息 资料
字号: 11楼

聪哥别把太多告诉病毒作者,小心他熬夜改代码劳神伤心。。。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2008-01-19 19:41 | 短消息 资料
字号: 12楼

况且网上的代码,在R3下搜索重定位表在win2003下无效
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2008-01-19 19:48 | 短消息 资料
字号: 13楼

引用:
【闪电风暴的贴子】聪哥别把太多告诉病毒作者,小心他熬夜改代码劳神伤心。。。
………………

扫吧扫吧,看那驱动你就会笑的。
你大可以BS那个作者,因为我们闪电弟弟比他强多了,这是大实话
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-19 20:10 | 只看楼主 短消息 资料
字号: 14楼

引用:
【轩辕小聪的贴子】就驱动的使用,给病毒作者一些忠告:
1. 使用CreateServiceA来创建驱动服务,你以为安全软件都是盲的么?要拦截你的驱动加载是很容易的事。你至少采用个有创意点的吧。
2. 对注册表做了N多操作之后再加载驱动,还原SSDT?那你在之前的注册表操作中很容易就被拦截了。
单单这前两项,你的驱动就很可能完全没有发挥作用的机会。
3. 你在R3情况下通过加载ntoskrnl.exe,搜索其重定位表,定位ntoskrnl.exe中填充KeServiceDescriptorTable的指令,以找到SSDT表在ntoskrnl.exe中的偏移。
我敢肯定你这个是抄的。这样虽然可行,但是需要时间和RP。
实际上驱动很容易就直接得到SSDT表在内核中的位置,配合ntoskrnl.exe在内核空间的基址,就直接得到其相对偏移,而这个偏移在文件中是不变的。只要在驱动响应IRP_MJ_DEVICE_CONTROL的例程中加上一段,让R3程序与之通信,从驱动返回SSDT表的偏移,就完全不用遍历重定位表那么庞大的工作量了。
这样你甚至都不用用LoadLibraryExA把ntoskrnl.exe加载(这又是一个容易被人发现的地方,比如卡巴就HOOK住了这个API),直接CreateFileA读文件都行了,因为ntoskrnl.exe的内存映像和文件区段其实是完全对齐的,你连内存偏移到文件偏移的换算都可以不需要。
至于你抄袭的对象,为什么要用重定位表的方法,我想很可能人家是为了不用驱动在R3就对SSDT表进行还原,所以要采取这样麻烦的手法(这个你不用想学了,这样一来SSM恐怕马上报你读取物理内存),你既然还是要用驱动,却要学得四不像,那是你自己的问题了。

4.你的驱动写得很烂。不,是抄得很烂,肯定是把人家一个实验性的“习作”抄过来了。
代码太简单了,必要的判断都没有,对传入的函数地址,连一个MmIsValidAddress都不做,对驱动的稳定性也太不负责任了吧?
这相当于造成一个新的漏洞,只要了解你的驱动接口,就可以往SSDT表任意位置写入任意地址,既可以用作SSDT HOOK,也可能分分钟导致严重的系统问题。
更何况你偷吃还不擦嘴,你创建的设备名,到底是"\Device\SSDTCL",还是"\Device\NetApi00"?
既然是后者,为什么还留着前者的RtlInitUnicodeString操作?
我看这完全是抄来的结果,敢情人家本来创建的是"\Device\SSDTCL",你把它改成"\Device\NetApi00",但是却忘了删去人家本来的RtlInitUnicodeString操作,从而造成了连续两次RtlInitUnicodeString。

搞出这么滑稽的事情,你这个“拿来主义”,也拿得太失败了一点吧?!
………………

跟他说这些,基本上是“对牛弹琴”。这家伙的人品和脑子都有问题。

病毒与反病毒之间的游戏,讲究的是“斗智”;而非“斗狠”。这点,“磁碟机”作者根本就不明白(其愚顽品质在他的“作品”中体现的淋漓尽致)。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2008-01-19 20:35 | 短消息 资料
字号: 15楼

好歹人家也写了个驱动,不要让人家的苦心白了,开扫!
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2008-01-19 20:40 | 短消息 资料
字号: 16楼

扫描结果:http://forum.ikaka.com/topic.asp?board=28&artid=8419031
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2008-01-19 21:05 | 短消息 资料
字号: 17楼

引用:
【baohe的贴子】
病毒与反病毒之间的游戏,讲究的是“斗智”;而非“斗狠”。这点,“磁碟机”作者根本就不明白(其愚顽品质在他的“作品”中体现的淋漓尽致)。
………………

分析那作者写的(抄的?)越来越又臭又长的代码,实在是令人倒胃口,而且他也实在把病毒运行环境想得太简单了,似乎用户什么事都不会做,就让你这个病毒一直运行到底?!
好个“斗智”而非“斗狠”,病毒作者大多不明白,结果做出来的东西还没来得及“露械”就已经被“缴械”了。
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2008-01-19 22:31 | 短消息 资料
字号: 18楼

下回该WinRAR了
gototop
 
铁碎牙sama
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-01-20
  • 来自:
发表于: 2008-01-20 01:51 | 短消息 资料
字号: 19楼

斑竹好厉害~能不能帮我们对付lsass这个病毒阿?中了这个病毒,非但瑞星无法运行,而且也无法进入安全模式,删了又死灰复燃,这绝对是我目前为止遇到的最顽固的病毒了!
网上介绍的那些手动的和专杀的方法都不怎么管用,希望斑竹能研究出彻底杀除lsass这个恶劣病毒的方法!拜谢!
gototop
 
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2008-01-20 01:59 | 短消息 资料
字号: 20楼

病毒作者估计被你们几个气死了。我睡觉去
gototop
 
<<上一主题|下一主题>>
123456   2  /  6  页   跳转
页面顶部
Powered by Discuz!NT