注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mie

 
 
 

日志

 
 

ring0 dll注入  

2012-01-30 23:21:45|  分类: ring0 dll |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

说明:

1. 不支持过数字签名,也就是说,对64位系统,无法直接安装运行,必须使用一些其他方法才能运行驱动。但是,在32位Windows中,没有任何问题。

【版本一a】
2012-01-30
        (1) 支持2000 sp4到win7 sp1之间的32位系统版本
        (2) 支持过session隔离
        (3) 支持过主动防御
        (4) 无提示注入到杀毒软件进程中
        (5) 需要重启生效
        (6) 成功率高

        (1) 需要进行系统痕迹清理(暂未加入)
        (2) 不支持过DEP
        (3) 不支持过数字签名

适用于电脑监控软件的引导,杀毒软件的引导,但需要解决DEP问题。
适用于游戏辅助程序,需在安装时关闭DEP。

【示例】使用ring0驱动注入dll,截取Windows登录密码   
http://zhanyonhu.blog.163.com/blog/static/1618604420120301165490/

【版本一b】2012-01-30
        (1) 支持2000 sp4到win7 sp1之间的32位系统版本
        (2) 支持过session隔离
        (3) 支持过主动防御
        (4) 支持过DEP
        (5) 无需重启

        (1) 不支持win7的winlogon进程注入,无法注入到部分杀毒软件进程中,
        (2) 不支持过数字签名
        (3) 成功率较低,兼容性不是很好,但不会导致蓝屏

适用于游戏辅助程序。

【版本四A】2012-02-19
        (1) 支持2000 sp4到win7 sp1之间的32位系统版本
        (2) 支持过session隔离
        (3) 支持过主动防御
        (4) 支持过DEP
        (5) 无需重启
        (6) 成功率较高
        (7) 支持过DEP

        (1) 不支持过数字签名
        (2) 会被一些第三方软件查询到痕迹,隐藏较困难
        (3) 为了增加兼容性,使用了一些特殊的技术手段,使得对一些进程不注入,导致成功率稍低,否则,成功率可以和【版本一A】相当。

适用于电脑监控软件的引导,杀毒软件的引导。

        电脑监控类软件、木马、游戏辅助类软件的区别:
        
电脑监控类软件。往往由网络管理员事先安装好这类软件,所以,可以忽略掉安装时的警报提示。但是,必须防止用户使用冰刃之类的软件终结或者修改监控类的软件,所以,自身保护比较重要。
        
木马。木马的安装需要尽量隐蔽。或者利用漏洞在其他进程中安装,或者开启进程安装。无论哪种安装,大多会被主动防御拦截。而一旦躲过主防,还得在下次启动时隐蔽运行。还得防范用户使用其他软件扫描,所以,hook之类的都会暴露自身。
        
游戏辅助类的软件。相对简单,因为,主动防御之类的都可以忽略。用户既然选择了这个软件,就让用户自己在主动防御报警的时候点"允许"就可以了。关键是过NPGPTP之类的保护,所以,可以考虑采用hook。但是,出于技术保密的考虑,尽量把各个技术点都隐藏起来较好。
EMAIL
zhanyonhu#$#163.com(替换#$#

  评论这张
 
阅读(1167)| 评论(2)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016