摘要：启动代码比hello_tt那个简洁，驱动也是无花无壳，比较有爱适合抄袭~~（hello_tt的看雪上有源码~~） 驱动只支持atapi啊这样不好，还附赠一段插apc注入explorer什么的。。。 求教怎么在启动阶段快速抓出他的驱动啊。。我是用windbg在ZwCreateSection return false才抓出来的= = http://115.com/file/clj65qfe... 阅读全文

摘要：大概这么几个思路 1. 打开文件用IoCreateFile，其他比较好发irp的（比如删除操作）走FSD irp删除文件部分处理了删除正在运行的exe镜像部分，做法是方法是IAT Hook MmFlushImageSection但是这样对于独占文件依旧不能处理，只好等到关机回调的时候ZwClose一下在检验对于鬼影这种hook住微端口驱动的StartIo这种，直接判断驱动名字... 阅读全文