Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理

来源：互联网发布：java 获取局域网ip 编辑：程序博客网时间：2024/05/07 17:36

BY mj:

Unhooker 3.8.341.552新增了一个Main Boot Record Verification (Check MBR for mismatchs at program start(SCSI Level))功能

功能实现是在sybex38.sys中sub_10E7A，使用该函数读出磁盘数据后，和正常方式读取的磁盘扇区做对比，来检查MBR Rootkit（或其他BOOTKIT)

该函数的实现是直接向DISK发送SCSI_REQUEST_BLOCK(IRP_MJ_SCSI)，用以读写磁盘扇区

和机器狗II代的代码非常相似：D

不过还是无法检测tophet的隐藏的

SCSI_REQUEST_BLOCK这个思路

Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理
Rootkit Unhooker驱动逆向分析
Rootkit Unhooker驱动逆向分析
IceSword&Rootkit Unhooker驱动简析
IceSword&Rootkit Unhooker驱动简析
Rootkit Unhooker LE v3.8.340.551
IceSword&Rootkit Unhooker驱动简析
IceSword&Rootkit Unhooker驱动简析
rootkit
RootKit
rootkit
Rootkit
rootkit
Rootkit
MBR Rootkit: new tricks added
Rootkit检测技术研究
rootkit介绍与检测
Rootkit Unhooker v3.8 It's Past, Present and Future of the NTx86 Rootkit Detection
一些常用的正则表达式
关联查询SQL题
发一篇在维护中总结的informix错误说明
VLC命令行使用帮助
manderbrot集合flashi实现
Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理
Oracle数据库数据对象分析(下)
ASP.NET防止跳过登录页面
分页方案
new:一种DLL插入方案
各种UNIX平台下vmstat与iostat输出结果详解_学习之用
求救!胜负比率计算问题?如何用SQL语句实现?(存储过程也可以)
Google Inc 高级管理层
通过inode来mv文件