-
-
[讨论]变态的ntfs.sys 中的IRP_MJ_CREATE hook
-
发表于:
2010-3-25 14:53
7616
-
[讨论]变态的ntfs.sys 中的IRP_MJ_CREATE hook
ntfs.sys 中的IRP_MJ_CREATE被hook了,比较变态:
1. 用Gmer扫描能看到ntfs.sys的IRP_MJ_CREATE被hook了,为什么直接在windbg中或者用XueTr.exe中就看
不到?
2. 直接在windbg中去掉这个hook也不能起效?(在windbg中能够成功修改IRP_MJ_CREATE 指向的函数地址,但是执行流程仍然会跳到:[F86A384A] tfnfs.sys)
3. 如何去除这个钩子?
哪位大牛,帮忙解释一下。
或者有哪些类似Gmer 或者 Malwarebytes Anti-Malware的工具能直接remove 这个变态的hook?
下面是Gmer的扫描log:
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F86A384A] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F86A384A] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F86A3080] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F86944CC] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F86944CC] tfnfs.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F86944CC] tfnfs.sys
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课