[求助]遭遇Ring3 的Inline hook，地点是Ntdll模块里的调用API列表-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
yueyunjiu 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	yueyunjiu 2 楼 ZwAPI吧，想不到这个地方也要HOOK，作者真有才 2011-10-27 00:31 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 3 楼 CreateFile ReadFile 2011-10-27 09:59 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼你自己用sysenter去调用让他去HOOK 2011-10-27 10:43 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 5 楼他肯定一般inline hook前面5个字节那恢复也简单了第一种简单方法：读取ntdll.dll文件映射然后对比第二种简单方法：肯定是 mov eax,XXXXXXXXX 那么取前面或者后面的SSDT服务号就行了所以你这个就是 MOV EAX,2E 其实最好的方法就是自己直接sysenter或者int 2e 2011-10-28 01:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
yueyunjiu 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	yueyunjiu 2 楼 ZwAPI吧，想不到这个地方也要HOOK，作者真有才 2011-10-27 00:31 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 3 楼 CreateFile ReadFile 2011-10-27 09:59 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼你自己用sysenter去调用让他去HOOK 2011-10-27 10:43 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 5 楼他肯定一般inline hook前面5个字节那恢复也简单了第一种简单方法：读取ntdll.dll文件映射然后对比第二种简单方法：肯定是 mov eax,XXXXXXXXX 那么取前面或者后面的SSDT服务号就行了所以你这个就是 MOV EAX,2E 其实最好的方法就是自己直接sysenter或者int 2e 2011-10-28 01:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复