首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]关于过检测的问题,请大家帮忙看看。
发表于: 2009-11-8 20:34 4347

[求助]关于过检测的问题,请大家帮忙看看。

房有亮 活跃值
3
2009-11-8 20:34
4347
最近遇到个难题 :请大家帮帮忙 ,这个程序 SSDT 了NtOpenProcess几个函数,我用INLINE过这个SSDT ,但是只要一钩住NtOpenProcess,过几秒就重启了,我以为我代码写错了但是我又试验了另一个程序这个程序也是SSDT NtOpenProcess,没有问题,证明我代码没问题,可能是他每隔几秒检测程序自己的函数是否被修改,问下各位大大有没有好方法过检测呀,有代码的丢个代码或思路就行了,先谢谢了。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
房有亮
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
私信
2
帮帮忙呀 给个思路 各位大大
2009-11-8 22:16
0
fenchang
雪    币: 445
活跃值: (25)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
3
既然只是ssdt hook掉了,那干嘛还要去hook它那个函数,直接找到NtOpenProcess的地址调用不就行了
2009-11-8 22:29
0
房有亮
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
私信
4
有时钟的 恢复就重新HOOK 然后一会就蓝屏
2009-11-8 22:36
0
Possible
雪    币: 87
活跃值: (25)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
5
不是很懂 路过
2009-11-8 22:36
0
fenchang
雪    币: 445
活跃值: (25)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
6
我是说直接找到NtOpenProcess在ntoskrnl中的地址然后调用,不是叫你恢复ssdt
2009-11-8 22:43
0
房有亮
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
私信
7
哦 是否是 先调用它的函数 修改返回值 然后在调用原始函数,新手 你说的我不大理解
2009-11-8 22:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//