[求助]怎么移除PsSetLoadImageNotifyRoutine设置的回调函数,或者使回调函数不能工作?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2 楼用IDA看一下PsSetLoadImageNotifyRoutine你就知道了，自己定位PspLoadImageNotifyRoutine 2010-3-14 22:46 0
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 3 楼其实我的意思是:假如有我只知道有一个驱动(不是我自己的驱动)调用了PsSetLoadImageNotifyRoutine,现在我想移除这个回调函数,或者使回调函数不能工作. 谁能能具体的说一下...... 2010-3-14 23:34 0
skypismire 雪币： 75 活跃值： (723) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 4 楼沙发沙发沙发，看错了 2010-3-15 00:03 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 5 楼我没理解错啊，那些函数地址都在一个数组里放着了，既然PsSetLoadImageNotifyRoutine能把它放进去，你逆向他自然就能找到答案，一旦你得到这个数组的地址，想怎么着不是就随你便了么？ 2010-3-15 16:26 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼直接找数组，判断回调例程地址是不是在那个XX驱动里，是的话，该项清零~~ 2010-3-15 18:37 0
bluehook 雪币： 74 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehook 1 7 楼正解,我已经是returnMe的fans了。。 2010-8-14 12:11 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 8 楼向牛人们学习了。 2010-8-17 05:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2 楼用IDA看一下PsSetLoadImageNotifyRoutine你就知道了，自己定位PspLoadImageNotifyRoutine 2010-3-14 22:46 0
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 3 楼其实我的意思是:假如有我只知道有一个驱动(不是我自己的驱动)调用了PsSetLoadImageNotifyRoutine,现在我想移除这个回调函数,或者使回调函数不能工作. 谁能能具体的说一下...... 2010-3-14 23:34 0
skypismire 雪币： 75 活跃值： (723) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 4 楼沙发沙发沙发，看错了 2010-3-15 00:03 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 5 楼我没理解错啊，那些函数地址都在一个数组里放着了，既然PsSetLoadImageNotifyRoutine能把它放进去，你逆向他自然就能找到答案，一旦你得到这个数组的地址，想怎么着不是就随你便了么？ 2010-3-15 16:26 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼直接找数组，判断回调例程地址是不是在那个XX驱动里，是的话，该项清零~~ 2010-3-15 18:37 0
bluehook 雪币： 74 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehook 1 7 楼正解,我已经是returnMe的fans了。。 2010-8-14 12:11 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 8 楼向牛人们学习了。 2010-8-17 05:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复