还是蓝了一下,找不到硬盘了,这会儿好了,NP太可怕了,现将结果贴出来。
WinXP SP3
----------------ShadowSSDT---------------
NtUserBuildHwndList
HOOK位置 0xF14162E4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserFindWindowEx
HOOK位置 0xF1416420
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetDC
HOOK位置 0xF14160C4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetDCEx
HOOK位置 0xF14161D4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetForegroundWindow
HOOK位置 0xF1416506
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserWindowFromPoint
HOOK位置 0xF14165D6
HOOK模块 TesSafe.sys
-------------------------以下是InLineHook----------------
[896]SVCHOST.EXE====ntdll.dll====NtQueryInformationProcess, HOOK类型:InLine - 相对跳转: 0x7C92D7E0 Hook模块[未知]
[976]SVCHOST.EXE====ntdll.dll====NtQueryInformationProcess, HOOK类型:InLine - 相对跳转: 0x7C92D7E0 Hook模块[未知]
[412]EXPLORER.EXE====kernel32.dll====GetProcAddress, 类型: 修改IAT地址 0x01001268 Hook模块[shimeng.dll]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - 相对跳转: 0x7C921166 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116B Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116C Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116D Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====NtCreateThread, HOOK类型:InLine - 相对跳转: 0x7C92D190 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====NtSetContextThread, HOOK类型:InLine - 相对跳转: 0x7C92DB90 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - 相对跳转: 0x7C92E45C Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - SEH地址 0x7C92E461 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - SEH地址 0x7C92E462 Hook模块[未知]
[228]QQLogin.exe====kernel32.dll====GetModuleFileNameA, HOOK类型:InLine - 相对跳转: 0x7C80B55F Hook模块[未知]
[228]QQLogin.exe====kernel32.dll====SetUnhandledExceptionFilter, HOOK类型:InLine - 相对跳转: 0x7C8449FD Hook模块[BugTrace.dll]
ntoskrnl.exe+0x00004AA2, HOOK类型:InLine - 相对跳转: 0x804DCAA2 Hook模块[ntoskrnl.exe]
ntoskrnl.exe+0x0000B928, HOOK类型:InLine - 相对跳转: 0x804E3928 Hook模块[ntoskrnl.exe]
ntoskrnl.exe+0x00013166, HOOK类型:InLine - 直接跳转 0x804EB166 Hook模块[未知]
ntoskrnl.exe====NtReadVirtualMemory, HOOK类型:InLine - 直接跳转 0x8057F2CE Hook模块[未知]
ntoskrnl.exe====NtWriteVirtualMemory, HOOK类型:InLine - 直接跳转 0x8057F420 Hook模块[未知]
IDT====Int 0x00000020, 类型: 修改IDT Hook模块[TesSafe.sys]
;===================================================================================================================================
就上面这些了,我很奇怪,查找结果SSDT没有HOOK , NtOpenProcess也没有HOOK。。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)