首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]怎么查看一个内核函数是否被inlineHOOK了呢?
发表于: 2010-6-20 14:02 5332

[求助]怎么查看一个内核函数是否被inlineHOOK了呢?

samrtian 活跃值
2010-6-20 14:02
5332
用什么工具跟踪调试查看某个内核函数是否被Inline HOOK了呢。。请指教~~

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
hekbobo
雪    币: 72
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
冰刃  XueTr 都可以
2010-6-20 14:28
0
x敏m
雪    币: 351
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
自己解析磁盘文件。。。
2010-6-20 15:16
0
samrtian
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我的意思是自己手工去分析内核函数。。不是利用那些已经查好的工具。
2010-6-21 16:12
0
skypismire
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
自己把内核映像 copy出来,自己逆向看吧,嘿嘿
2010-6-21 17:17
0
samrtian
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
怎么COPY呢。。介绍个方法吧。谢谢
2010-6-21 21:01
0
skypismire
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
7
windbg 用命令
.writemem d:\core.dat 80400000 l xxxxx
2010-6-21 21:12
0
samrtian
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
非常感谢兄弟 skypismire 。。我去试试
2010-6-21 21:50
0
tmxfh
雪    币: 101
活跃值: (144)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
9
建议采用以下方法,成功率会更高,也更简单:
1.得到函数的起点地址
2.读取函数在磁盘上的内容
3.逐字节比较
2010-6-22 10:55
0
samrtian
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
谢谢各位能人
2010-6-22 16:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//