- UID
- 1043
- 精华
- 35
- 积分
- 11319
- 威望
- 789 点
- 宅币
- 8292 个
- 贡献
- 1094 次
- 宅之契约
- 0 份
- 最后登录
- 2024-4-19
- 在线时间
- 2067 小时
用户组: 超级版主
OS与VM研究学者
- UID
- 1043
- 精华
- 35
- 威望
- 789 点
- 宅币
- 8292 个
- 贡献
- 1094 次
- 宅之契约
- 0 份
- 在线时间
- 2067 小时
- 注册时间
- 2015-8-15
|
记得之前曾有个文章叫《Ring3下阻止ARK启动》,2010年黑客防线的文章,讲的是用替换内核文件的方式禁止ARK读内核文件。
看了这篇文章于是我也起劲了,动手写了个Inline Hook IopCreateFile的东东,加载驱动后,对各大知名ARK的影响:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 无法启动
PowerTool v4.6 - 无法访问SSDT,IDT等,不能枚举EAT Hook,若禁止读win32k.sys则无法访问Shadow SSDT
wsyscheck v1.68 - 无法启动
WTool v2.6 - SSDT项取得的都是些乱七八糟的地址,还有这玩意知名吗。。。
如若挂钩NtCreateFile,效果如下:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 没影响
PowerTool v4.6 - 没影响
wsyscheck v1.68 - 无法启动
WTool v2.6 - 没影响
现在主流的两个ARK就属PCHunter和PowerTool,此文中提及的东西用途很明显,只要利用Inline Hook IopCreateFile禁止多个内核文件
比如ntfs.sys,win32k.sys,ntkrnlpa.exe,fastfat.sys,disk.sys,atapi.sys,acpi.sys,hal.dll这类的,即可使得PowerTool在检测内核上面彻底废掉 |
|