- UID
- 1043
- 精华
- 积分
- 11692
- 威望
- 点
- 宅币
- 个
- 贡献
- 次
- 宅之契约
- 份
- 最后登录
- 1970-1-1
- 在线时间
- 小时
|
记得之前曾有个文章叫《Ring3下阻止ARK启动》,2010年黑客防线的文章,讲的是用替换内核文件的方式禁止ARK读内核文件。
看了这篇文章于是我也起劲了,动手写了个Inline Hook IopCreateFile的东东,加载驱动后,对各大知名ARK的影响:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 无法启动
PowerTool v4.6 - 无法访问SSDT,IDT等,不能枚举EAT Hook,若禁止读win32k.sys则无法访问Shadow SSDT
wsyscheck v1.68 - 无法启动
WTool v2.6 - SSDT项取得的都是些乱七八糟的地址,还有这玩意知名吗。。。
如若挂钩NtCreateFile,效果如下:
PCHunter v1.35 - 没影响
IceSword v1.22 - 没影响
IceLight v1.96 - 没影响
PowerTool v4.6 - 没影响
wsyscheck v1.68 - 无法启动
WTool v2.6 - 没影响
现在主流的两个ARK就属PCHunter和PowerTool,此文中提及的东西用途很明显,只要利用Inline Hook IopCreateFile禁止多个内核文件
比如ntfs.sys,win32k.sys,ntkrnlpa.exe,fastfat.sys,disk.sys,atapi.sys,acpi.sys,hal.dll这类的,即可使得PowerTool在检测内核上面彻底废掉 |
|