SSDT HOOK问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
gaohuia 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	gaohuia 2 楼远程防注可以参考360保险箱的做法。若进程直接调用ZwLoadDriver就会得到进程的PID，若进程调用StartService加载驱动，得到的pid就是services .exe的 2011-4-17 10:11 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼 360可以拦截到startservice方式，不知道怎么做的 2011-4-17 10:21 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 4 楼它的做法，哪里有介绍？我想知道，不胜感激 2011-4-18 13:54 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 5 楼哪位大牛给些点拨？谢谢 2011-4-23 18:43 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 6 楼 HOOK SSDT不能精确判断么？ 2011-4-28 00:54 0
黑色candy 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	黑色candy 7 楼看网上代码好像要读注册表啊。 2011-4-28 16:44 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 8 楼我现在只能从注册表得到驱动路径，无法精准判断驱动真正的安装者 2011-4-28 20:53 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 9 楼看了很多代码都是得到的进程为services.exe。。。。 2011-5-1 02:22 0
zyrvs 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zyrvs 10 楼对于NtCreateThread，可以用PsGetCurrentThread->ThreadsProcess得到当前进程的eprocess，在用NtCreatethread的hProcess，得到目标进程的eprocess就能判断是否远程创建线程了。 2011-5-3 10:43 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 11 楼 NtCreateThread搞定了，但就是加载驱动只能得到services.exe进程加载驱动(SCM方式加载)，360的HookPort.sys好像可以做到精确判断 2011-5-8 12:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
gaohuia 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	gaohuia 2 楼远程防注可以参考360保险箱的做法。若进程直接调用ZwLoadDriver就会得到进程的PID，若进程调用StartService加载驱动，得到的pid就是services .exe的 2011-4-17 10:11 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼 360可以拦截到startservice方式，不知道怎么做的 2011-4-17 10:21 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 4 楼它的做法，哪里有介绍？我想知道，不胜感激 2011-4-18 13:54 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 5 楼哪位大牛给些点拨？谢谢 2011-4-23 18:43 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 6 楼 HOOK SSDT不能精确判断么？ 2011-4-28 00:54 0
黑色candy 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	黑色candy 7 楼看网上代码好像要读注册表啊。 2011-4-28 16:44 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 8 楼我现在只能从注册表得到驱动路径，无法精准判断驱动真正的安装者 2011-4-28 20:53 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 9 楼看了很多代码都是得到的进程为services.exe。。。。 2011-5-1 02:22 0
zyrvs 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zyrvs 10 楼对于NtCreateThread，可以用PsGetCurrentThread->ThreadsProcess得到当前进程的eprocess，在用NtCreatethread的hProcess，得到目标进程的eprocess就能判断是否远程创建线程了。 2011-5-3 10:43 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 11 楼 NtCreateThread搞定了，但就是加载驱动只能得到services.exe进程加载驱动(SCM方式加载)，360的HookPort.sys好像可以做到精确判断 2011-5-8 12:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] SSDT HOOK问题 0.00雪花