标签 ‘ring0’ 下的日志

ring0下挂钩SSDT防文件删除

2007/09/05 10:30 | 鬼仔 | 技术文章 | 消灭0回复

文章作者:asm
信息来源:邪恶八进制信息安全团队

 好久没写东西了,手痒。见zhouzhen同志写了一篇ring3下抗文件删除的(https://forum.eviloctal.com/read-htm-tid-28707-keyword-.html),所以,偶也献个丑。
贴个图图:

 关于文件的操作,一般都通过ZwSetInformationFile完成,只要挂钩ZwSetInformationFile,就可以了。(但愿不要产生流氓程序)

反汇编一下ntdll,找到ZwSetInformationFile:
.text:7C92E5D9 阅读全文 »

Tags: ,

SSDT Hook的妙用-对抗ring0 inline hook

2007/03/12 12:27 | 鬼仔 | 技术文章 | 1 个回复

标 题: 【转载】SSDT Hook的妙用-对抗ring0 inline hook
作 者: 堕落天才
时 间: 2007-03-10,15:18
链 接: http://bbs.pediy.com/showthread.php?threadid=40832

*******************************************************
*标题:【转载】SSDT Hook的妙用-对抗ring0 inline hook *
*作者:堕落天才 *
*日期:2007年3月10号 *
*声明:本文章的目的仅为技术交流讨论 *
*******************************************************

1,SSDT
SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):
阅读全文 »

Tags: ,