天天看垃圾rootkit,看多了也成了臭皮匠= =
循環 mov dr0,atapi!xxxxxxx
hook KidebugR
再學0 Access來個驅動感染
這下沒人管了(當然如果內存掃特徵定位驅動文件+Winpe = = 介是高端用戶啊。。。)
自己寫了一個試了一下,IO時有卡頓感是必須的
老外幾個月前就有一篇dr0的利用,用來內存欺騙的 。。。
http://blogs.mcafee.com/mcafee-labs/memory-forging-attempt-by-a-rootkit
powertool已經可以檢測了,我有告訴過ithurricane :)