Trả lời cùng với trích dẫnChạy dưới quyền User / Non-administratorNguyên bản được gửi bởi clone
hoặc kiểm soát hàm: CreateService() [with parameter flag: SERVICE_KERNEL_DRIVER]
Thành viên mới
Làm cách nào theo dõi và chống load driver trên win xp
Trên win xp việc load driver dễ dàng hơn win 7 nên rootkit dễ dàng hoạt động.Có cách nào để chặn việc load driver được không ?
Thành viên nhiệt tình
Chạy dưới quyền User / Non-administrator
hoặc kiểm soát hàm: CreateService() [with parameter flag: SERVICE_KERNEL_DRIVER]
Ân oán giang hồ nuôi tôi lớn
Cuộc đời khốn nạn dạy tôi khôn
Không đâm không chém đời không nể
Không tiền không bạc gái không theo
----------------------
Visit my blog: http://nova-soft.net/
Thành viên mới
Mình cũng chạy dưới quyền user mà vẫn load driver được cơ mà(trên winxp)Chạy dưới quyền User / Non-administrator
hoặc kiểm soát hàm: CreateService() [with parameter flag: SERVICE_KERNEL_DRIVER]
Còn kiểm soát CreateService là sao bạn,có phải ta phải hook vào hàm CreateService và set dwServiceType là SERVICE_KERNEL_DRIVER không.Bạn có thể cho mình code mẫu được không?
Thành viên nhiệt tình
Hook CreateService() thì đúng rồi. Trong hàm lọc / fake của hook bạn kiểm tra
Visual C++ Code:
Ý tưởng của mình là như thế, nhưng chưa test bao giờ. Lâu rùi cũng ko đụng đến mấy cái này
Ân oán giang hồ nuôi tôi lớn
Cuộc đời khốn nạn dạy tôi khôn
Không đâm không chém đời không nể
Không tiền không bạc gái không theo
----------------------
Visit my blog: http://nova-soft.net/
Thành viên chính thức
Cái nếu hook ở usermode CreateService thì đến lúc nó unhook thì hỏng. Thử chuyển xuống kernelmode đi. Hoặc filter driver đi.
Quyền hạn của bạn
