browser icon
You are using an insecure version of your web browser. Please update your browser!
Using an outdated browser makes your computer unsafe. For a safer, faster, more enjoyable user experience, please update your browser today or try a newer browser.

Las Ventas发布

Posted by on 2007 年 12 月 03 日

你可以任意转载本文,但请在转载后的文章中注明作者和原始链接。
媒体约稿请联系 titilima_AT_163.com(把“_AT_”换成“@”)。

点这里下载Las Ventas:lv.zip

《夕阳下的熊猫香》广告,发布一个免费的简易Rootkit检测工具“Las Ventas”,并以20000RMB的价格出售其源码。以下为本工具的简介及部分技术细节(本着务实的原则,不对其进行任何类似商业宣传的吹嘘):

Las Ventas已实现的:

  1. 暴力枚举进程,能够检测隐藏进程。虽然笨拙,但是可靠且移植性好。
  2. 对于进程,直接读取文件映像的文件名,而不是PEB。
  3. 有效绕过关键点的inline-hook。
  4. 由于可以绕过inline-hook,因此可以终止挂钩了NtTerminateProcess的进程。
  5. 完全解析原始SSDT结构,并进行恢复。
  6. 已测试的系统:Win2K sp4/WinXP sp2/Win2K3 sp1。

Las Ventas未实现的:

  1. WinVista的进程枚举和进程终止。
  2. 更顽固、不可终止的进程。
  3. 超越PspCidTable的隐藏进程检测。

有意购买源码者可以与李马联系。

———-传说中的分隔线———-

  1. 点这里查看本代码的出售说明
  2. 这个代码里使用的技术绝对不是最新,也不是最好的。但是,总会有人需要这个代码,所以还是厚着脸皮把它插上草标卖了。
  3. 在第1条的历史背景下,李马会诚恳接受任何诚恳的建议和意见,也同样会恶意删除任何恶意的评论和妄言。
  4. 如果李马此举能引来更好代码的无偿开源,那么李马会很荣幸。

订阅本站

12 Comments

  • At 2009.01.24 21:20, 李马 said:

    [quote=四面楚歌]你能不能开发一个远程控制工具,而不被对方发觉。注意不是用于干坏事。而是“偷偷”监控孩子,不被他发现。。。[/quote]
    这一类的工具已经有很多了,您可以在网上找到相关的远程控制软件。

    • At 2009.05.18 22:26, 青天白日梦 said:

      什么叫传说中的做分隔线?。。。。。

      (Required)
      (Required, will not be published)