首页
社区
课程
招聘
[求助]内核函数被不断hook,该如何解决呢?
发表于: 2012-4-3 10:29 9156

[求助]内核函数被不断hook,该如何解决呢?

2012-4-3 10:29
9156
【求助】内核函数被不断hook,该如何解决呢?

如图所示:


这几个函数,用工具刚恢复没一秒的时间就又被重新hook了..

不知道这样情况,如果自己编写驱动过他的话,该如何下手呢?

新手,问题问的有点白痴,各位大侠帮帮忙啊..

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 244
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
干掉内核中的定时器
2012-4-3 11:18
0
雪    币: 50
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
干掉内核中的线程
2012-4-3 11:59
0
雪    币: 238
活跃值: (55)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
4
干掉内核~~
2012-4-3 12:08
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
干掉电脑(保持阵形)
2012-4-3 13:46
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
最好的办法是重建ssdt表
2012-4-3 13:47
0
雪    币: 209
活跃值: (813)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
干掉重新恢复Hook的定时器或线程!
2012-4-3 14:05
0
雪    币: 136
活跃值: (48)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
等他检查过了 你再hook  哈哈
2012-4-3 14:17
0
雪    币: 238
活跃值: (55)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
9
干掉启动项,然后重启
2012-4-3 14:20
0
雪    币: 130
活跃值: (1005)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
1、开启2条内核线程往死恢复和他比快
2、干掉对方内核线程、定时器
3、ByPass
2012-4-3 15:07
0
雪    币: 544
活跃值: (264)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
11
HOOk 0xB2960B14、0xB2960BA0
2012-4-3 16:17
0
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
补充两个方法。
1、在对方的函数里jmp回来
2、inline hook KiFastCallEntry,构建自己SSDT表,架空他的SSDT HOOK。这个办法更好一些。
2012-4-6 11:31
0
雪    币: 69
活跃值: (157)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
13
重载内核~~~
2012-4-16 13:37
0
雪    币: 328
活跃值: (154)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
14
把监视线程干掉
2012-4-18 23:03
0
雪    币: 508
活跃值: (202)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
15
有点像HS的保护
2012-4-19 21:42
0
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
KiFastCallEntry要被搞烂
2012-5-8 01:14
0
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
看看是否有系统回调。
2012-5-8 15:51
0
游客
登录 | 注册 方可回帖
返回
//