黑基网 首页 学院 网络安全 查看内容

微点主动防御软件_逆向_idb

2009-8-29 10:58| 投稿: security

摘要:   文章作者:sudami   sudami   2009/08/24   --------------------------------------------------   "微点主动...
  文章作者:sudami   sudami   2009/08/24   --------------------------------------------------   "微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍.   在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!   从本资料中您可能获取到如下某些技巧:   引用:   1. 加密解密函数   2. IAT HOOK / EAT HOOK / 深度Call Hook / Inline Hook / (Shadow)SSDT Hook及其复杂的处理   3. 部分win32k.sys中的未公开结构及其微点对ShadowSSDT中为公开函数的引用/处理   (比如判断窗体的合法性,并进行可疑度打分)   4. 栈回溯的无所不用其极的极致发挥 / 栈劫持来回滚木马的危害行为   5. 自定义的结构体中的评分机制   6. 瞬间HOOK及其摘除Hook的技巧   7. 对远程线程注入的防范原理   8. 对驱动加载的拦截点及其原理   9. 一种巧妙的混淆IDA的花的运用   10. 驱动间的数据交互 / 内核DLL技术   11. 如何判断当前程序行为的可疑度   12. etc...   btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件 相关参考:  [1] Bypass 微点主动防御软件  [2] 微点对MmLoadSystemImage的处理  [3] 微点在检测IFEO方面好脆弱 附件下载:微点.IDB-new.090101.V 1.10026_sudami.rar
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

引用 游客 2017-11-30 14:41
ugKvLZ  <a href="http://rtaxnqbtauvx.com/">rtaxnqbtauvx</a>, [url=http://jxkzovymuexp.com/]jxkzovymuexp[/url], [link=http://cyaevnacdish.com/]cyaevnacdish[/link], http://kwiyimfzuijb.com/
引用 游客 2017-11-29 12:39
ZdEpNN http://www.LnAJ7K8QSpfMO2wQ8gO.com

查看全部评论(2)


新出炉

返回顶部