-
-
[讨论]变态的ntfs.sys 中的IRP_MJ_CREATE hook
-
发表于:
2010-3-25 14:53
7617
-
[讨论]变态的ntfs.sys 中的IRP_MJ_CREATE hook
ntfs.sys 中的IRP_MJ_CREATE被hook了,比较变态:
1. 用Gmer扫描能看到ntfs.sys的IRP_MJ_CREATE被hook了,为什么直接在windbg中或者用XueTr.exe中就看
不到?
2. 直接在windbg中去掉这个hook也不能起效?(在windbg中能够成功修改IRP_MJ_CREATE 指向的函数地址,但是执行流程仍然会跳到:[F86A384A] tfnfs.sys)
3. 如何去除这个钩子?
哪位大牛,帮忙解释一下。
或者有哪些类似Gmer 或者 Malwarebytes Anti-Malware的工具能直接remove 这个变态的hook?
下面是Gmer的扫描log:
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F86A384A] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F86A384A] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F86A3080] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F86944CC] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F86944CC] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F86944CC] tfnfs.sys
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法