-
-
[旧帖]
[求助]问两个Inline Hook的问题,请大牛帮忙。
0.00雪花
-
发表于:
2011-11-30 23:34
1219
-
[旧帖] [求助]问两个Inline Hook的问题,请大牛帮忙。
0.00雪花
第一个:
这个函数:ke386iosetaccessprocess :
mov edi,edi
push ebp
mov ebp,esp
。。。。
被游戏的驱动保护改为:
push XXXXXXXX
retn
比方:这个函数的地址 0x804f9476
改前和改后这个地址的机器码就会改变。我想对这个地址下断点,看看是谁在一直读取这个地址的内容。。。。。我想请问这样的断点 windbg能下么?就是类似于OD里面的内存断点一样,能知道是哪个地方读取、更改了他。能行吗?
第二个问题:
还是这个函数,这个函数不是SSDT和shandowSSDT里面的函数的话,我改怎么用SSDT的那种思路去HOOK他呢?
SSDT的函数都是有个表,我可以更改表里面的内容。。。。不知道这样的函数有没有表?我可以更改这个表里面的内容使得一个函数要调用这个函数的时候,直接跳到我的函数里面。我想这样我就可以不用改变游戏驱动保护所更改的内核代码来达到过驱动保护的目的了。
第三个问题:
如果第二个问题没有这样的表的话,这个函数被inline hook了。如果游戏驱动用第一个问题中的方法,一直在读取这个地址的值有没有被更改。假如是这样的话,我改怎么过这个保护呢?
我是这么想的,首先如果有一直在检测这个地方的数值的话,我肯定不能将inline hook恢复。也没法绕过·因为这是在函数的头部。也没法SSDT,因为这样的函数可能会没有SSDT那种表。大牛能不能给我提供一个小小的见解或者思路?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课