Board logo

标题: [讨论]请问MACFEE如何实现文件监控的? [打印本页]

作者: faye    时间: 2008-7-20 23:25     标题: [讨论]请问MACFEE如何实现文件监控的?

[讨论]请问MACFEE如何实现文件监控的?
信息来源:邪恶八进制信息安全团队(www.eviloctal.com
文章作者:dream2fly

发现如果我在系统目录创建文件,macfee会监控到,用ICESWORD看了下,macfee没有hook ssdt, 那么macfee是怎么监控到的呢?
请各位大侠帮解惑一下。QQ:838468959

帖子593 精华41 积分4641 阅读权限100 性别男 在线时间475 小时 注册时间2004-11-20 最后登录2008-7-3 查看详细资料引用 报告 回复 TOP 爱要怎么说出口


寂寞宝贝
荣誉会员

作者: 大阿哥    时间: 2008-7-20 23:25

其实有的时候出名的东西用的技术并不一定用的技术都是那么高级。。。。搞不好他就是简单的Hook Api 或者直接就是文件目录监视。。成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 爱要怎么说出口

dream2fly
荣誉会员

作者: 绝对零度    时间: 2008-7-20 23:25

引用:
原帖由 寂寞宝贝 于 2008-5-24 11:35 发表
其实有的时候出名的东西用的技术并不一定用的技术都是那么高级。。。。搞不好他就是简单的Hook Api 或者直接就是文件目录监视。。
是fsd hook,确实很高级。。QQ:838468959

帖子593 精华41 积分4641 阅读权限100 性别男 在线时间475 小时 注册时间2004-11-20 最后登录2008-7-3 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

zshoucheng
荣誉会员

作者: hnhxlxw    时间: 2008-7-20 23:25

很老的技术了
轻松Bypass之。。。--->  伱 能 領 導 潮 流.  我 可 領 導 全 賕!  <---

帖子238 精华12 积分4746 阅读权限100 性别男 来自gd 在线时间1268 小时 注册时间2006-5-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

sudami
大米米

运维管理组





欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2