返回列表 发帖

驱网的双月挑战赛

凡本论坛原创内容,其作者享有著作权,未经许可谢绝转载。

驱网的双月挑战赛

有人参加没?奖品是书耶~~

1。有一些病毒使用直接读写IO方式的方法来写硬盘,以绕过还原保护软件(比如说机器狗)

现在请开发一个简单的驱动,提供对这种方式写硬盘的过滤判断。当这种操作发生于Windows自身提供的驱动中的时候,我们允许它的发生
当这种操作发生于不明驱动驱动的时候,我们禁止它。
要求提供1个小驱动,大小不超过30k

2。USB U盘只读控制
 USB的只读控制在xp sp2/svista下时,系统有自己的只读功能,只需要改写注册表即可。本题目要求可以对特定的U盘进行只读控制。兼容windows 2k/xp/vista系统。如果兼容64位平台,会得到更多加分。 特定的意思是:比如有A/B两个u盘,可能只需要控制A盘,B的可以完全读写。 再说明一下,即可以对抗整盘复制而控制不会失效:)

3。进程防注入
可以通过各种手段进行进程注入,比如createremotethread, setWindowsHookEx,path 特定的系统函数,如loadlibrary.
本题要求防止各种注入手段进行线程注入,要求兼容windows 2k/xp/vista系统 ,如果兼容64位平台,会得到更多加分。
(本题要求的是兼容性)
FlowerCode 保留随时编辑此帖的权利,恕不另行通知。本帖可能包括一些技术上的不准确性或打字错误。FlowerCode “按原样”提供本帖,不包括任何明示或暗含的保证,包括但不限于适销性或适用于某种特殊用途的保证。

TOP

1. 貌似可以用MJ那个替换的招数,号称无法检测哈。ATAPI级别的。
2. 这个好像挺简单吧,可以同1。
3. 微软说了:64位DLL不能注入32位进程,32位DLL不能注入64位进程。聪明人就知道该怎么办了。
FlowerCode 保留随时编辑此帖的权利,恕不另行通知。本帖可能包括一些技术上的不准确性或打字错误。FlowerCode “按原样”提供本帖,不包括任何明示或暗含的保证,包括但不限于适销性或适用于某种特殊用途的保证。

TOP

MJ那个替换的招数,这个在哪可以看到啊~~

TOP

MJ那个替换的招数,这个在哪可以看到啊~~
phthegreat 发表于 2009-7-4 20:05

http://hi.baidu.com/mj0011/blog/ ... 422ad88cb10d05.html
FlowerCode 保留随时编辑此帖的权利,恕不另行通知。本帖可能包括一些技术上的不准确性或打字错误。FlowerCode “按原样”提供本帖,不包括任何明示或暗含的保证,包括但不限于适销性或适用于某种特殊用途的保证。

TOP

学习学习!!

TOP

学习学习!!
phthegreat 发表于 2009-7-4 21:18

早干啥去了呢,我从若干月前的资料里翻出来你才学习
FlowerCode 保留随时编辑此帖的权利,恕不另行通知。本帖可能包括一些技术上的不准确性或打字错误。FlowerCode “按原样”提供本帖,不包括任何明示或暗含的保证,包括但不限于适销性或适用于某种特殊用途的保证。

TOP

哎,早被墙了~~不能学习不和谐的东西

TOP

确实很强悍

TOP

哎,都是强悍的地方

TOP

返回列表