首页
社区
课程
招聘
[求助]怎么查看一个内核函数是否被inlineHOOK了呢?
发表于: 2010-6-20 14:02 5368

[求助]怎么查看一个内核函数是否被inlineHOOK了呢?

2010-6-20 14:02
5368
用什么工具跟踪调试查看某个内核函数是否被Inline HOOK了呢。。请指教~~

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 72
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
冰刃  XueTr 都可以
2010-6-20 14:28
0
雪    币: 351
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
自己解析磁盘文件。。。
2010-6-20 15:16
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我的意思是自己手工去分析内核函数。。不是利用那些已经查好的工具。
2010-6-21 16:12
0
雪    币: 75
活跃值: (828)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
自己把内核映像 copy出来,自己逆向看吧,嘿嘿
2010-6-21 17:17
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
怎么COPY呢。。介绍个方法吧。谢谢
2010-6-21 21:01
0
雪    币: 75
活跃值: (828)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
windbg 用命令
.writemem d:\core.dat 80400000 l xxxxx
2010-6-21 21:12
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
非常感谢兄弟 skypismire 。。我去试试
2010-6-21 21:50
0
雪    币: 101
活跃值: (154)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
建议采用以下方法,成功率会更高,也更简单:
1.得到函数的起点地址
2.读取函数在磁盘上的内容
3.逐字节比较
2010-6-22 10:55
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
谢谢各位能人
2010-6-22 16:25
0
游客
登录 | 注册 方可回帖
返回
//