Ring3下通过查询GDI句柄表来检测进程 被引量：1

1

作者 liuke_blue 《黑客防线》 2010年第7期274-276,共3页

冰刃、XueTr、Rootkit Unhooker等AntiRootkit工具中有一个很好的模块，可以进行进程检测，虽然一些病毒通过内核函数Hook、DKOM（直接内核对象操作技术）等方法来隐藏进程，

关键词 RING3 GDI 检测进程

原文传递

主动防御AutoRun病毒

2

作者 liuke_blue 《黑客防线》 2010年第1期49-51,共3页

我曾经在黑防杂志上发表过一篇《AutoRun病毒的主动防御》的文章，主要是讲如何通过编写驱动来防止AutoRun病毒被用户删除，从而实现AutoRun病毒自我保护的功能。具体想深入了解该文的话，请查阅2009年第6期的《黑客防线》。所谓有“攻... 我曾经在黑防杂志上发表过一篇《AutoRun病毒的主动防御》的文章，主要是讲如何通过编写驱动来防止AutoRun病毒被用户删除，从而实现AutoRun病毒自我保护的功能。具体想深入了解该文的话，请查阅2009年第6期的《黑客防线》。所谓有“攻”就有“防”．现在就给大家讲讲如何自己通过编程来实现主动防御AutoRun病毒的运行。 展开更多

关键词 AUTORUN 主动防御 病毒 《黑客防线》 自我保护 删除 查阅 编程

原文传递

内核编写CMOS维护工具

3

作者 liuke_blue 《黑客防线》 2010年第6期125-128,共4页

我们知道windows98以前的系统，应用程序可以直接访问I／O端口。举个例子．当不知道CMOS密码时．

关键词 CMOS维护工具 WINDOWS98 DEBUG命令 编写 内核 CMOS密码 I/O端口 直接访问

原文传递

利用Hook IRP隐藏磁盘分区

4

作者 liuke_blue 《黑客防线》 2010年第4期93-94,共2页

前不久我写了一篇关于如何通过Hook IoCaliDriver来保护文件不被删除的文章，在文中我提到过Hook IoCallDriver这个函数最终其实是HookIRP，只要我们能够处理IRP，那么我们就能够”为所欲为“了。因此本文将给大家讲讲如何通过HookIRP... 前不久我写了一篇关于如何通过Hook IoCaliDriver来保护文件不被删除的文章，在文中我提到过Hook IoCallDriver这个函数最终其实是HookIRP，只要我们能够处理IRP，那么我们就能够”为所欲为“了。因此本文将给大家讲讲如何通过HookIRP来隐藏磁盘分区下的所有文件。 展开更多

关键词 编程 I R P 文件隐藏

原文传递

利用FSD HOOK IRP分发例程保护文件

5

作者 liuke_blue 《黑客防线》 2010年第5期83-85,共3页

CNNIC中文上网这个流氓插件不知道大家有没有听说过，极为顽固，利用多种高级ROOtkit技术来进行自我保护，用户对它束手无策，无法停止、无法删除。为此360还专门发布了一款很著名的360SuperKill专杀工具，这个工具提到一个当时很新颖... CNNIC中文上网这个流氓插件不知道大家有没有听说过，极为顽固，利用多种高级ROOtkit技术来进行自我保护，用户对它束手无策，无法停止、无法删除。为此360还专门发布了一款很著名的360SuperKill专杀工具，这个工具提到一个当时很新颖的技术破冰（Kill Defence）。为什么CNNIc会造成这么大的轰动效应，因为它当时使用了一种很先进的Rootikit技术FSDHOOK。 展开更多

关键词 编程 FSD HOOK 分发例程

原文传递

Inline Hook IoCallDriver保护文件

6

作者 liuke_blue 《黑客防线》 2010年第2期121-123,共3页

我们知道，通过HOOK SSDT中的ZwSetlnformationFile函数可以对文件进行保护．从而防止文件被删除。其实还有不少保护文件不被删除的方法．比如FSD Dispatch Hook、HOOK IoCompteteRequest、在内核层打开文件占用等等。

关键词 编程 HOOK 文件保护

原文传递

利用栈回溯来编写驱动防火墙

7

作者 liuke_blue 《黑客防线》 2010年第7期14-16,共3页

不知道大家有没有用过Ollydbg这个调试工具，它可以很清楚看到反汇编代码执行时堆栈的变化情况，其实VC＋＋、Delphi等这些编程工具也有调用堆栈，如果你常用单步跟踪调试的话，

关键词 栈回溯 驱动 防火墙

原文传递

如何绕过文件透明加密机制

8

作者 liuke_blue 《黑客防线》 2010年第7期407-408,共2页

目前数据安全越来越引起重视，为了防止数据从内部被泄密出去，很多安全的防范方法都相应出现。有以下几种常见的方法来防止内部文档泄密：

关键词 文件透明加密 绕过 驱动

原文传递

利用ExitWindowsEx关闭瑞星2009

9

作者 liuke_blue 《黑客防线》 2009年第12期118-119,共2页

利用ExitwindowsEx这个函数，我们可以很轻松地关闭杀毒软件的进程．下面我们来看看是如何实现的。

关键词 编程 杀进程 ExitwindowsEx函数

原文传递

再论进程防火墙

10

作者 liuke_blue 《黑客防线》 2009年第9期99-102,共4页

前不久在黑防技术论坛闲逛，看到有人发帖问有没有2008年7期虎子哥哥写的《编写自己的主动防御进程防火墙》的源代码，为了能帮助这位黑防迷．我找到这篇文章，一看确实没有提供源代码。由于自己目前正在学习内核编程，于是决定亲手编... 前不久在黑防技术论坛闲逛，看到有人发帖问有没有2008年7期虎子哥哥写的《编写自己的主动防御进程防火墙》的源代码，为了能帮助这位黑防迷．我找到这篇文章，一看确实没有提供源代码。由于自己目前正在学习内核编程，于是决定亲手编写并将程序进行“升级”，于是就有了本文。 展开更多

关键词 编程 防火墙 进程保护

原文传递

另类在Ring3下突破瑞星2008的主动防御

11

作者 liuke_blue 《黑客防线》 2008年第8期22-22,共1页

文件的防删除技术一直是杀毒软件的一种保护方式。本文我将给大家介绍瑞星杀毒软件的文件防删技巧。

关键词 瑞星 主动防御 系统监控

原文传递

构造自己的“SSDT”绕过主动防御

12

作者 liuke_blue 《黑客防线》 2010年第7期352-354,共3页

SSDT想必大家都已经很熟悉，它就是Windows系统服务描述符表，这是将Ring3下的系统API函数和RingO系统API函数相互联系起来的一条重要通道。不管是杀毒软件的主动防御还是病毒木马所用到的Rootkit技术都对SSDT进行争夺来达到相应目的。

关键词 SSDT 主动防御

原文传递

Inline HookIoCompleteRequest隐藏文件

13

作者 liuke_blue 《黑客防线》 2010年第7期311-313,共3页

在以前的《黑客防线》杂志上我给大家介绍过通过inline Hook lo CallDriver这个函数来达到保护、隐藏文件等。因为该函数中会处理IRP，我们知道在内核中只要能拦截到IRP，就可以做很多事。

关键词 驱动 隐藏文件

原文传递