软件作者：zjjmj
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

又升了一次级。
U盘未插入状态下所创建的进程就不警告了，免得让人心烦。
新增一个病毒扫描功能和一个病毒库，就是xyzreg的hive注册表那个程序，
因为俺相信xyzreg老牛写的东东应该没有什么破坏代码吧，做起试验来比较安全，目前基本上能够应付一些普通壳。
可惜俺没得啥子病毒样本，而且俺又很懒，以后俺有空的话会慢慢升级俺的病毒扫描函数，陆续添加病毒库的。


HOOK了ZwLoadDriver,ZwOpenSection和ZwCreateProcess三个函数来
拦截驱动加载，物理内存对象和创建进程，特别对U盘插入后运行的进程加以警告。

俺本来以为编写HOOK SSDT这种东东应该比较简单，结果还花了俺好几天时间哩，这次没有用汇编了哈，用的C了，xixi。

更新成V1.1版了，新增对利用ZwSetSytemInformation等已公开的进入Ring0的办法的拦截。

俺不公开源代码主要是因为经常有人拿俺的源代码转帖时就把俺的版权信息给删了，更可气的是有些人编译时看也不看，把俺的版权信息编到病毒里面去了，真是晕死！（大家可用Google搜一搜zjjmj2002就明白俺有多冤了！）

搞个KTimer不断检测是否被还原啊。还原了再HOOK掉~
用RKU还原SSDT后就无效了

9K啊，学习，赞一个~

呵呵，那样似乎有流氓的嫌疑。

微点就是这样的。保护自身嘛。不流氓~

引用:

引用第3楼sudami于2007-11-16 09:59发表的 :
微点就是这样的。保护自身嘛。不流氓~

关键要把流氓进Ring0的路堵死，不然弄个DPC就想保护自己无异于是天方夜谭，只能是白白地消耗系统资源。

Hook了 ZwLoadDriver、ZwOpenSection、ZwCreateProcessEx、ZwSetSytemInformation、ZwSystemDebugControl
对 IS 的驱动加载起不了作用

把已公开的不需要重启的技术防住就行了。

对感染sys文件俺在另外一篇文章中已进行讨论并给出部分源码。
结果就是一个这个结果！！！
http://it.rising.com.cn/Channels ... 4256332d44504.shtml

引用:

引用第6楼zshoucheng于2007-11-16 15:34发表的 :
Hook了 ZwLoadDriver、ZwOpenSection、ZwCreateProcessEx、ZwSetSytemInformation、ZwSystemDebugControl
对 IS 的驱动加载起不了作用

啊，俺记得IS是好像还是用ZwLoadDriver加载驱动的呀。

恩。。感染系统文件加载驱动需要重启用的人不多

见得多的加载驱动就是 CreateService 和 ZwSetSytemInformation
再加上已经Hook了ZwCreateProcessEx，能拦截大部分的流氓了。。

不过如果对方采用ZwCreateThead就能躲过了。。。