关于ssdt函数被hook恢复的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
style 雪币： 111 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 2 楼 windbug双机调试，NtOpenProcess下断点 2012-4-12 21:46 0
莫灰灰雪币： 2373 活跃值： (2285) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 3 楼下 ssdt 表的内存访问断点就好了。 2012-4-12 21:47 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 4 楼对 ServiceTableBase[0x7A*4]下内存写入断点 2012-4-12 21:47 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 5 楼用syser吧，，对NtOpenprocess下读写断点。。bpm NtOpenprocess地址.....就能找到搞他的东东了。。。其实你处理一下KiFastCallEntry。。也能绕过他的 2012-4-13 07:31 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 6 楼不是定时器就是线程 1、绕过 2、开20个内核线程和他比快 2012-4-13 11:41 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 7 楼 syser是一个工具吗?处理这个KiFastCallEntry,请问怎么处理法. 2012-4-13 12:36 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 8 楼 20个内存线程....这个有点浪费资源吧.. 2012-4-13 12:37 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 9 楼 [QUOTE=RootSuLe;1063336]对 ServiceTableBase[0x7A*4]下内存写入断点[/QUOTE] 嗯我试试吧 2012-4-13 12:38 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 10 楼内存访问断点太影响运行效率了，没尝试在内核层使用。你确定可以吗？？ 2012-4-13 13:01 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 11 楼呃syser是个工具，内核调试的，看雪上有，我忘了全名了。不过你能用windbg，双机调试也行（调试虚拟机VM）。hook KiFastCallEntry看雪上也有代码，一搜就能看到,,360就是这么搞的吧 2012-4-13 16:29 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 12 楼 [QUOTE=RootSuLe;1063336]对 ServiceTableBase[0x7A*4]下内存写入断点[/QUOTE] 这个正解,赏金已给出~~~ 2012-4-14 00:01 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 13 楼 [QUOTE=RootSuLe;1063336]对 ServiceTableBase[0x7A4]下内存写入断点[/QUOTE] 另外希望你给出下这个断点的命令代码好吗?也就是下ServiceTableBase[0x7A4] 的操作步骤~! 2012-4-14 00:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
style 雪币： 111 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 2 楼 windbug双机调试，NtOpenProcess下断点 2012-4-12 21:46 0
莫灰灰雪币： 2373 活跃值： (2285) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 3 楼下 ssdt 表的内存访问断点就好了。 2012-4-12 21:47 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 4 楼对 ServiceTableBase[0x7A*4]下内存写入断点 2012-4-12 21:47 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 5 楼用syser吧，，对NtOpenprocess下读写断点。。bpm NtOpenprocess地址.....就能找到搞他的东东了。。。其实你处理一下KiFastCallEntry。。也能绕过他的 2012-4-13 07:31 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 6 楼不是定时器就是线程 1、绕过 2、开20个内核线程和他比快 2012-4-13 11:41 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 7 楼 syser是一个工具吗?处理这个KiFastCallEntry,请问怎么处理法. 2012-4-13 12:36 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 8 楼 20个内存线程....这个有点浪费资源吧.. 2012-4-13 12:37 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 9 楼 [QUOTE=RootSuLe;1063336]对 ServiceTableBase[0x7A*4]下内存写入断点[/QUOTE] 嗯我试试吧 2012-4-13 12:38 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 10 楼内存访问断点太影响运行效率了，没尝试在内核层使用。你确定可以吗？？ 2012-4-13 13:01 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 11 楼呃syser是个工具，内核调试的，看雪上有，我忘了全名了。不过你能用windbg，双机调试也行（调试虚拟机VM）。hook KiFastCallEntry看雪上也有代码，一搜就能看到,,360就是这么搞的吧 2012-4-13 16:29 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 12 楼 [QUOTE=RootSuLe;1063336]对 ServiceTableBase[0x7A*4]下内存写入断点[/QUOTE] 这个正解,赏金已给出~~~ 2012-4-14 00:01 0
Nekoxiaoji 雪币： 688 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 13 楼 [QUOTE=RootSuLe;1063336]对 ServiceTableBase[0x7A4]下内存写入断点[/QUOTE] 另外希望你给出下这个断点的命令代码好吗?也就是下ServiceTableBase[0x7A4] 的操作步骤~! 2012-4-14 00:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复