首页
论坛
专栏
课程

[原创]对抗驱动级关机回写的方法

2009-5-1 03:01 9761

[原创]对抗驱动级关机回写的方法

2009-5-1 03:01
9761
很多ROOTKIT使用IoRegisterShutdownNotification的方式来关机回写自己的文件

对抗这种技术有一些方式:

方法1:HOOK FSD的IRP_MJ_SHUTDOWN例程

在所有的关机回调都执行完毕后,IoShutdownSystem会给所有的DiskFileSystem发送IRP_MJ_SHUTDOWN,以便他们将缓存中的文件flush到磁盘设备上

HOOK这个例程后先进行你的处理,就可以比任何关机回写更晚执行了

方法2:IoRegisterLastChanceShutdownNotification

这是给你的驱动设备注册一个“最后机会”关机回调

这个回调将在系统FLUSH并关闭完所有的存储设备后调用,因此这个回调里不能访问或调用任何分页内存的函数或数据,不能执行文件IO操作...

但比方法1更晚,你可以在这里实现自己的磁盘IO操作。

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (15)
ImHolly 1 2009-5-1 13:18
2
0
貌似方法2要实现对特定文件 进行磁盘IO 有些困难.

qihoocom  夜行动物...
achillis 15 2009-5-1 15:48
3
0
03:01   膜拜~
xzchina 1 2009-5-1 17:26
4
0
这发贴时间,楼主身体能吃得消么..
halfman 2009-5-1 23:53
5
0
两个都貌似很邪恶的方法
XSJS 2009-5-2 01:05
6
0
关键问题是“你的操作”里面要怎么判断?
Nooby 5 2009-5-2 02:24
7
0
拔电

123456
treeyan 2009-5-2 23:01
8
0
邪恶
mov al,feh
out 64h,al
写个J毛
qihoocom 9 2009-5-2 23:12
9
0
楼上两个真NC,强制关机谁不知道?以为自己很聪明?知道不知道强制关机有多少几率破坏系统文件?
solohac 1 2009-5-3 09:02
10
0
长见识了1234
Nooby 5 2009-5-5 14:04
11
0
方法1: 破坏系统文件几率小于在此时操作磁盘时被人hook造成的蓝屏.
方法2: IoUnregisterShutdownNotification(IN PDEVICE_OBJECT  DeviceObject);参数是DriverObject,太嫩了
Isaiah 10 2009-5-6 01:39
12
0
病毒清除完毕。需要立即拔掉计算机电源才能完全清除。是否立即拔电?
                             是(Y)      否(N)
刘国华 2009-5-6 08:21
13
0
Isaiah就是聪明
xjhma 2009-5-6 08:46
14
0
厉害,这个搞得我头晕好几天了
dms 2009-5-6 08:58
15
0
强制关机难保不会破坏系统文件,造成开机不能了。
qihoocom 9 2009-5-6 11:51
16
0
同上 NC真多
游客
登录 | 注册 方可回帖
返回