Rootkit --逆向工程技術--

網上說的比較常見的4種方法：

官網：台灣駭客年會 HIT2011

一年一度難得的盛會又來囉!!!

對岸一篇質量非常高的

頗析虛擬機檢測技術，共計6種檢測

下面是關鍵代碼，可以查找斷開 PsLoadedModuleList 鏈的驅動，比如 某Np開頭的遊戲保護

PDIRECTORY_BASIC_INFORMATION    pDriverBuffer = NULL;

當系統載入一個驅動時，會為這個驅動建立一個_KLDR_DATA_TABLE_ENTRY結構體，DRIVER_OBJECT結構體的DriverSection成員指向這個結構體。以下是WRK中_KLDR_DATA_TABLE_ENTRY結構體的定義：

最近幾天學習了下檔案過濾驅動, 這方面的資料確實很少
這篇文章是我這幾天學習的總結, 特此貼出來供大家一起學習,

以前總想知道 IDA 是否能夠實現內核調試，後來找了一段時間沒什麼結果就暫時放棄了。 今天在國外的一個博客上偶然看到了用 IDA 實現內核調試的方法，其實現在國內也有很多文 章介紹了 IDA 通過串口進行調試的文章，如果大家想看的話可以搜索下。

2011.5.29測試有效

【提示】能加驅動進內核，就沒必要弄EXE了，所以我個人覺得沒啥實際用途，僅供觀看

網上很多文章都有關於SSDT的完整的實現，但是沒有關於Shadow SSDT的完整實現，目前最好的文章是《shadow ssdt學習筆記 by zhuwg》，我這裡的程式也很多參考了他的文章，在這裡謝謝了。我這裡給出一個hook shadow ssdt的完整實現的驅動和3層的代碼。

其實這東西很多大牛多玩膩了的東西，看下論壇上比較少這類的，就來獻獻醜，科普一下 大牛們直接
可以飄過，這東西主要是自我複習一下OBJECT的一些知識，技術這東西久了不弄容易忘記，所以

來份聖誕大禮~!!

搞了一下午的成果  第一次逆驅動  還是直接用KD逆的 

我們今天一起來彙總看看IRP HOOK的方法。又是長篇大論，別著急，慢慢看。談到irp攔截，基本上有三種方式，一種是在起點攔截，一種是在半路攔截，一種是在終點攔截。 下面我們會詳細分析這幾種方式哪些是有效的，哪種是無效的。 要理解這幾種攔截，我們需要看看irp地傳送過程。我們看下圖的標準模型。請看大屏幕。
8.JPG

仿照了下360 的過濾架構，搭建了個Hook 框架，360的Hook架構的確很優秀，我覺得很值得我們學習與研究。這裡我按照大牛們已經逆向出來的思路實現了下代碼(都逆向出來了坐下代碼工作不會怎 麼樣吧？….只是學習架構)。不要鄙視我等代碼工………，好吧大牛們想BS就BS吧，我表示毫無壓力~~~~，我是菜鳥我怕誰!

異步過程調用(APCs) 是NT異步處理體系結構中的一個基礎部分，理解了它，對於瞭解NT怎樣操作和執行幾個核心的系統操作很有幫助。

今天和大家分享一個小心得，想必很多高手已經玩膩了~飄過吧！
最近接觸了不少遊戲保護，它們或多或少的都有一個特製就是在被調試機上運行遊戲以後調試機上的WINDBG就接受不到信息了。起初我也困惑的很，而且在驅動當中設置int 3斷點會藍屏。後來在一個應用程序中添加了

先廢話,當初是為了繞開NP對sysenter保護而想出來的,

後來發現連RootkitUnhooker都繞了.

SSDT即System Service Dispath Table，它是一個表，這個表中有內核調用的函數地址。
KeServiceDescriptorTable：是由內核（Ntoskrnl.exe）導出的一個表

IDT Hook是一個非常簡單的東東。這裡我們不討論IDTR，中斷處理過程等東西。

以後有時間補上（假如我有時間的話）。

最近在編寫內核驅動時出現因缺頁中斷被屏蔽而導致CPU佔用100%，不得不重啟的現象。
SoftICE中顯示的信息是：