- 注册时间
- 2013-11-3
- 最后登录
- 1970-1-1
该用户从未签到
|
发表于 2015-10-22 18:14:17
|
显示全部楼层
.版本 2
' 强制重启 任找一处频繁调用的SSDT
' mov al,fe //fe是机箱上reset的按键码
' out 64h,al //向键盘端口写出 立刻重启(非蓝屏syser也抓不到)
' 9月以后,TP驱动的CRC查到被修改就是这么做的.
' 有兴趣可以翻下8月份放的那个R3反调试壳.
' TP果断继承了老马的“原创精神”
' ——————————————————
' r0检测调试和隐藏进程主要还是围绕EP和DEBUGPORT
' 以前的各种模块的老源码里都有用NtSystemDebugControl的
' 只是WIN2K3 sp1之后,NtSystemDebugControl的r0权限被微软堵了(杀软也会堵)
' 自己抄过来替换内核读写部分即可.
' 这里不多做演示了
' 取自身EP和DEBUGPORT是不需要R0权限的
' ——————————————————
' pass驱动重在分析,一时讲不清楚.实现方面,利用以上功能组合使用即可
' by the.night 懒羊羊
' int a=0;
' while (a>0)
' {
' a++;
' //此处书写感谢 "数字"大的教育 的代码
' } |
|