首页
社区
课程
招聘
[求助]遭遇Ring3 的Inline hook,地点是Ntdll模块里的调用API列表
发表于: 2011-10-26 23:24 5156

[求助]遭遇Ring3 的Inline hook,地点是Ntdll模块里的调用API列表

2011-10-26 23:24
5156
7C92D120 >  B8 2E000000     Jmp XXXXXXX
7C92D125    BA 0003FE7F     MOV EDX,7FFE0300
7C92D12A    FF12            CALL DWORD PTR DS:[EDX]
7C92D12C    C2 1400         RETN 14
7C92D12F    90              NOP
7C92D130 >  B8 2F000000     MOV EAX,2F
7C92D135    BA 0003FE7F     MOV EDX,7FFE0300
7C92D13A    FF12            CALL DWORD PTR DS:[EDX]
7C92D13C    C2 2000         RETN 20
7C92D13F    90              NOP
7C92D140 >  B8 30000000     MOV EAX,30
7C92D145    BA 0003FE7F     MOV EDX,7FFE0300
7C92D14A    FF12            CALL DWORD PTR DS:[EDX]
7C92D14C    C2 2400         RETN 24
如题在调用api的那个地方被JMP了,我要如何才得到这个地址然后恢复?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 44
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ZwAPI吧,想不到这个地方也要HOOK,作者真有才
2011-10-27 00:31
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
CreateFile
ReadFile
2011-10-27 09:59
0
雪    币: 2105
活跃值: (424)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
你自己用sysenter去调用 让他去HOOK
2011-10-27 10:43
0
雪    币: 116
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
他肯定一般inline hook前面5个字节那恢复也简单了
第一种简单方法:读取ntdll.dll文件映射 然后对比
第二种简单方法:肯定是 mov eax,XXXXXXXXX
那么取前面 或者后面的SSDT服务号就行了
所以你这个就是 MOV EAX,2E

其实最好的方法就是自己直接sysenter或者int 2e
2011-10-28 01:55
0
游客
登录 | 注册 方可回帖
返回
//