求监控OD附加检测思路方法

虫◎洞

真的很疼 发表于 2013-10-27 17:34
这么牛B？ 秒杀一切驱动级非法程序？ 话说你加了驱动的没。 你要没加驱动的检测 能检测出啥玩意、、、、
  ...

只要是驱动级非法程序就会被我检测到，而不是驱动级的话打开OD附加或载入会被轻松的几句检测代码给干掉调试器，所谓OD没了驱动就是废柴。当然不是驱动级我没制作检测XT或其他非法工具，当然要是我想轻松的定位个XT或常见的非法工具设立个特征即可秒杀。没了驱动就是废柴，有驱动会被我还没附加或载入就被检测到。

虫◎洞

真的很疼 发表于 2013-10-27 17:34
这么牛B？ 秒杀一切驱动级非法程序？ 话说你加了驱动的没。 你要没加驱动的检测 能检测出啥玩意、、、、
  ...

虽然马化腾或其他程序也有加载驱动，列入腾讯QQ有加载驱动，360有加载驱动，游戏有加载驱动，但是这些基本都会被我的检测准确的排除掉

虫◎洞

真的很疼 发表于 2013-10-27 17:34
这么牛B？ 秒杀一切驱动级非法程序？ 话说你加了驱动的没。 你要没加驱动的检测 能检测出啥玩意、、、、
  ...

不过还有个缺陷是没办法准确无误的确定非法驱动程序就是OD或是其他驱动程序，不过可以大概判断出类似OD
不过我并没有设立这种判断，为了超强防护我把检测力度设立最大，只要是驱动级程序超出我设立的检测力度都会被视为非法，所以只要开XT，OD，冰刃，安全但多数人都不用的驱动程序都会被视为开启了非法程序

虫◎洞

真的很疼 发表于 2013-10-27 17:34
这么牛B？ 秒杀一切驱动级非法程序？ 话说你加了驱动的没。 你要没加驱动的检测 能检测出啥玩意、、、、
  ...

给你留个悬念把！呵呵 悬念就是本人的驱动级检测OD非什么特别函数，非HOOK，非加载驱动，非内核级，非检测OD标题，非检测OD类名，非检测OD名称，非检测OD进程，非枚举驱动，非读内存，非检测函数，非任何枚举功能手段，非检测暂停间隔，非检测父进程。OK了超不多就这些了，顺便提示一下：不是像那个超级名捕OD附加了程序或载入打开了程序才会被检测到而且只能检测OD，记住了我的是只要打开了OD并加载OD驱动不管你附加没附加就会被检测到（同时打开XT，冰刃这些也会被检测到）

SourceCode

太长了  没看完呢！

墨戈小宝

表示 小母牛上飞机了...

怪咖咖

路过。。

陌．小皓

没有一定的汇编知识，谈什么干掉OD。

真的很疼

虫◎洞 发表于 2013-10-29 19:59
给你留个悬念把！呵呵 悬念就是本人的驱动级检测OD非什么特别函数，非HOOK，非加载驱动，非内核级，非检 ...

没什么悬念，你都说加在驱动才能监测，无非就是监测驱动接口了

虫◎洞

真的很疼 发表于 2013-10-31 00:19
没什么悬念，你都说加在驱动才能监测，无非就是监测驱动接口了

此言差矣！监测驱动接口回答错误！只所以加载驱动才能检测是因为筛选排除法，因为用户可能运行一堆程序如果程序过多就很难识别到底有没有使用非法程序，因电脑程序实在太多所以为了避免这种情况我需要筛选排除，只要是程序有加载驱动来保护就会出现在我的监控名单，但是这样还是不行，因为筛选出了有加载驱动保护的进程其中也包括腾讯类程序或安全杀软类程序，最终我用奇葩式方法将他们排除了，就这样完美秒杀非法驱动级程序，之所以要加载驱动才能检测是为了筛选不是什么驱动接口监控表示不懂你说的这监控驱动接口，因为OD没有驱动随便几句检测就能搞定而有驱动就会被我检测到所以感觉很完美了呵呵