能力值:
( LV5,RANK:70 )
|
-
-
26 楼
应该是你说的这个.
|
能力值:
( LV9,RANK:260 )
|
-
-
27 楼
那为什么不先jmp再nop?
|
能力值:
( LV12,RANK:600 )
|
-
-
28 楼
NO还素没人猜出来
|
能力值:
( LV12,RANK:530 )
|
-
-
29 楼
那就请作者说出整体框架啦~
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
mark,讨论比帖子更有意思了:)
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
学习mark....
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
不知道为什么有三个nop?
xpsp3下u一下nt!KiFastCallEntry+0xe8
|
能力值:
( LV9,RANK:260 )
|
-
-
33 楼
Sysnap问的是,这里故意留出3个nop的好处(比如为什么不是jmp nop nop nop)
不过现在已经搞清楚啦!
|
能力值:
( LV6,RANK:80 )
|
-
-
34 楼
搞清楚了?说说看呢。。。
|
能力值:
( LV9,RANK:260 )
|
-
-
35 楼
跟Hook安全性有关,能保证在某个低概率事件发生时不出错
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
mark一下,顶顶顶
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
是不是jmp指令太长,怕别的线程执行原来KiFastCallEntry第一个指令后,函数被hook了,第二个指令地址在jmp指令中间,然后出错崩溃。
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
3个NOP保安全?
|
能力值:
( LV15,RANK:440 )
|
-
-
39 楼
是不是用于特征识别的?
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
push edi // 本次系统调用对应的SysCall Table的地址(SSDT或SSDTShadow的地址)
三个nop真相在此吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
。。。。理解错误,没注意看
|
能力值:
( LV2,RANK:10 )
|
-
-
42 楼
3个nop是不明白的,
jmp需要5个字节,本来下面6个字节的指令改成一个nop + 一个jmp是足够的。
为什么要把前面两个也nop掉呢,
假如,前面360已经hook了,
那么加上两个nop后会发现连续13个指令被修改。
很多AntiRootkit软件(如xuetr)检测内联钩子时都是对比连续指令的。
这样检测结果表面上看只会发现是360的钩子。
|
能力值:
( LV5,RANK:70 )
|
-
-
43 楼
占位学习 。
|
能力值:
( LV5,RANK:70 )
|
-
-
44 楼
占位学习123456
|
能力值:
( LV2,RANK:10 )
|
-
-
45 楼
哪有框架一说?
这样的Hook代码都有框架?
纯扯淡,无任何亮点
|
能力值:
( LV10,RANK:170 )
|
-
-
46 楼
所谓的神马n个nop 无非就是4 or 8个字节对齐,直接使用Interlocked***系列函数罢了
你们搞的真神秘~
|
能力值:
( LV4,RANK:50 )
|
-
-
47 楼
谢谢,收藏了。。
|
|
|