技术宅的结界

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
查看: 1317|回复: 1
收起左侧

PowerTool v4.6的一个问题

[复制链接]

38

主题

108

帖子

4782

积分

用户组: 管理员

UID
1043
精华
19
威望
223 点
宅币
3672 个
贡献
461 次
宅之契约
0 份
在线时间
743 小时
注册时间
2015-8-15
发表于 2015-10-2 05:02:13 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有帐号?立即注册→加入我们

x
记得之前曾有个文章叫《Ring3下阻止ARK启动》,2010年黑客防线的文章,讲的是用替换内核文件的方式禁止ARK读内核文件。
看了这篇文章于是我也起劲了,动手写了个Inline Hook IopCreateFile的东东,加载驱动后,对各大知名ARK的影响:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 无法启动
PowerTool v4.6 - 无法访问SSDT,IDT等,不能枚举EAT Hook,若禁止读win32k.sys则无法访问Shadow SSDT
wsyscheck v1.68 - 无法启动
WTool v2.6 - SSDT项取得的都是些乱七八糟的地址,还有这玩意知名吗。。。
如若挂钩NtCreateFile,效果如下:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 没影响
PowerTool v4.6 - 没影响
wsyscheck v1.68 - 无法启动
WTool v2.6 - 没影响
现在主流的两个ARK就属PCHunter和PowerTool,此文中提及的东西用途很明显,只要利用Inline Hook IopCreateFile禁止多个内核文件
比如ntfs.sys,win32k.sys,ntkrnlpa.exe,fastfat.sys,disk.sys,atapi.sys,acpi.sys,hal.dll这类的,即可使得PowerTool在检测内核上面彻底废掉
flowers for Broken spirits - a woman turned into stake will hold the world in the basin of fire.
回复

使用道具 举报

0

主题

41

帖子

45

积分

用户组: 初·技术宅

UID
3351
精华
0
威望
2 点
宅币
0 个
贡献
0 次
宅之契约
0 份
在线时间
0 小时
注册时间
2018-1-14
发表于 2018-1-14 15:41:16 | 显示全部楼层
可以可以!!
回复

使用道具 举报

本版积分规则

QQ|申请友链||Archiver|手机版|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图  

GMT+8, 2020-7-5 20:38 , Processed in 0.088364 second(s), 28 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表