摘要:
代码的既乱又烂,将就下~_~.原理是枚举_ethreadvs2008+ddkwizard写的extern"C"{#include<ntddk.h>}#defineOBJECT_HEADER_SIZE0x018#defineOBJECT_HEADER_TYPE_OFFSET0x008#defineETHREAD_CID_OFFSET0x1ec#defineETHREAD_STARTADD... 阅读全文
摘要:
写这类的程序关键是封了进入ring0的方法 守住ring0这块高地 其它的什么都不怕.......通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...创建进程:hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程, 更好的办法是再hook NtCreateSection具体参考codeproject上的文章Hooking ... 阅读全文
摘要:
尝试运行命令行"sfc /scannow",检查一下系统文件,可以发现病毒文件。 阅读全文