驱网的双月挑战赛

phthegreat

有人参加没？奖品是书耶~~

FlowerCode

１。有一些病毒使用直接读写IO方式的方法来写硬盘，以绕过还原保护软件（比如说机器狗）

现在请开发一个简单的驱动，提供对这种方式写硬盘的过滤判断。当这种操作发生于Windows自身提供的驱动中的时候，我们允许它的发生
当这种操作发生于不明驱动驱动的时候，我们禁止它。
要求提供1个小驱动，大小不超过30k

２。USB　U盘只读控制
　USB的只读控制在xp sp2/svista下时，系统有自己的只读功能，只需要改写注册表即可。本题目要求可以对特定的U盘进行只读控制。兼容windows 2k/xp/vista系统。如果兼容64位平台，会得到更多加分。 特定的意思是：比如有A/B两个u盘，可能只需要控制A盘，B的可以完全读写。 再说明一下，即可以对抗整盘复制而控制不会失效：）

３。进程防注入
可以通过各种手段进行进程注入，比如createremotethread,　setWindowsHookEx,path 特定的系统函数，如loadlibrary.
本题要求防止各种注入手段进行线程注入，要求兼容windows 2k/xp/vista系统 ,如果兼容64位平台，会得到更多加分。
（本题要求的是兼容性）

FlowerCode

1. 貌似可以用MJ那个替换的招数，号称无法检测哈。ATAPI级别的。
2. 这个好像挺简单吧，可以同1。
3. 微软说了：64位DLL不能注入32位进程，32位DLL不能注入64位进程。聪明人就知道该怎么办了。

phthegreat

MJ那个替换的招数，这个在哪可以看到啊~~

FlowerCode

MJ那个替换的招数，这个在哪可以看到啊~~
phthegreat 发表于 2009-7-4 20:05

http://hi.baidu.com/mj0011/blog/ ... 422ad88cb10d05.html

phthegreat

学习学习！！

FlowerCode

学习学习！！
phthegreat 发表于 2009-7-4 21:18

早干啥去了呢，我从若干月前的资料里翻出来你才学习

phthegreat

哎，早被墙了~~不能学习不和谐的东西

ewatcher

确实很强悍

fishasm

哎，都是强悍的地方