-
-
[旧帖] [讨论]关于icesword的ssdt恢复 0.00雪花
-
发表于: 2011-10-6 16:34
-
我用icesword的ssdt恢复,恢复了NtOpenProcess
[ ATTACH ] xxxx [ /ATTACH ]
结果他就把NtOpenProcess里的头5个字节改成了一个跳转。
[ ATTACH ] xxxx [ /ATTACH ]
即图里的0x
我想知道他是跳转到了一个自己写的函数里去了还是哪?
他的这个恢复可能用的是什么方法呢?
希望高手能帮着分析一下。
[ ATTACH ] xxxx [ /ATTACH ]
结果他就把NtOpenProcess里的头5个字节改成了一个跳转。
[ ATTACH ] xxxx [ /ATTACH ]
即图里的0x
我想知道他是跳转到了一个自己写的函数里去了还是哪?
他的这个恢复可能用的是什么方法呢?
希望高手能帮着分析一下。
|
|
|---|---|
