sudami
2009/08/24
--------------------------------------------------
"微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍.在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!
从本资料中您可能获取到如下某些技巧:
1. 加密解密函数
2. IAT HOOK / EAT HOOK / 深度Call Hook / Inline Hook / (Shadow)SSDT Hook及其复杂的处理
3. 部分win32k.sys中的未公开结构及其微点对ShadowSSDT中为公开函数的引用/处理
(比如判断窗体的合法性,并进行可疑度打分)
4. 栈回溯的无所不用其极的极致发挥 / 栈劫持来回滚木马的危害行为
5. 自定义的结构体中的评分机制
6. 瞬间HOOK及其摘除Hook的技巧
7. 对远程线程注入的防范原理
8. 对驱动加载的拦截点及其原理
9. 一种巧妙的混淆IDA的花的运用
10. 驱动间的数据交互 / 内核DLL技术
11. 如何判断当前程序行为的可疑度
12. etc...
btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件
相关参考:
[1] Bypass 微点主动防御软件
[2] 微点对MmLoadSystemImage的处理
[3] 微点在检测IFEO方面好脆弱
微点.IDB-new.090101.V 1.10026_sudami.rar (1.1 MB) | DownLoad -
- 声明: 本文仅供技术参考,请勿用于非法或商业用途,否则由此引发的纠纷本人概不负责。
