- 博客(3)
- 收藏
- 关注
RSS订阅原创 如何从内核态重启系统
如何从内核态重启系统呢,一个经常被推荐的简单的解决办法是 用驱动来通知一个用户态的服务并调用ExitWindowsEx函数但是如果你非要想在内核态做这件事呢?那么你可以使用HalReturnToFirmware或NtShutdownSystem函数但是这些函数都是无文档的,如果你使用它们,你的驱动可能无法通过WHQL认证这里提供一种简单的、完全有文档的方法:使用下面的函数
2007-02-17 14:08:00
5483
3
原创 u88财富快车流氓软件RK驱动分析
u88财富快车流氓软件RK驱动分析RK部分一共三个文件VideoAti0.sysVideoAti0.dllVideoAti0.exe驱动部分是BOOT0的,主要干了这么些事:1.建立CreateProcessNotifyRoutine,检测到userinit.exe加载后就修改注册Run项目,以启动VideoAti0.exe,VideoAtio0.exe启动后会删除自己的RUN项目,并注入Vide
2007-01-07 15:42:00
6930
原创 打算利用过年时间写一个Anti-Rootkit工具
年后发布,计划功能:1.核心级文件访问,byPass any api/ifs/fsd hook 或过滤,对付目前的RK流氓该够了,如果真有人变态到做磁盘级在考虑加更强的功能2.摘各种ROUTINE或Notifiction的功能3.隐藏进程检测、终止4.文件句柄关闭5.注册表HIVE访问6.各种inline hook非inline hook的检测及修复7.系统image还
2007-01-07 12:18:00
3702
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人