Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理
来源:互联网 发布:java 获取局域网ip 编辑:程序博客网 时间:2024/05/07 17:36
BY mj:
Unhooker 3.8.341.552新增了一个Main Boot Record Verification (Check MBR for mismatchs at program start(SCSI Level))功能
功能实现是在sybex38.sys中sub_10E7A,使用该函数读出磁盘数据后,和正常方式读取的磁盘扇区做对比,来检查MBR Rootkit(或其他BOOTKIT)
该函数的实现是直接向DISK发送SCSI_REQUEST_BLOCK(IRP_MJ_SCSI),用以读写磁盘扇区
和机器狗II代的代码非常相似:D
不过还是无法检测tophet的隐藏的
SCSI_REQUEST_BLOCK这个思路
- Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理
- Rootkit Unhooker驱动逆向分析
- Rootkit Unhooker驱动逆向分析
- IceSword&Rootkit Unhooker驱动简析
- IceSword&Rootkit Unhooker驱动简析
- Rootkit Unhooker LE v3.8.340.551
- IceSword&Rootkit Unhooker驱动简析
- IceSword&Rootkit Unhooker驱动简析
- rootkit
- RootKit
- rootkit
- Rootkit
- rootkit
- Rootkit
- MBR Rootkit: new tricks added
- Rootkit检测技术研究
- rootkit介绍与检测
- Rootkit Unhooker v3.8 It's Past, Present and Future of the NTx86 Rootkit Detection
- 一些常用的正则表达式
- 关联查询SQL题
- 发一篇在维护中总结的informix错误说明
- VLC命令行使用帮助
- manderbrot集合flashi实现
- Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理
- Oracle数据库数据对象分析(下)
- ASP.NET防止跳过登录页面
- 分页方案
- new:一种DLL插入方案
- 各种UNIX平台下vmstat与iostat输出结果详解_学习之用
- 求救!胜负比率计算问题?如何用SQL语句实现?(存储过程也可以)
- Google Inc 高级管理层
- 通过inode来mv文件