-
-
[旧帖] 哪位朋友想练手的进来一下哦~~HOHO~~ 0.00雪花
-
发表于: 2012-9-21 18:34
-
不知道哪位朋友想练手,帮忙写个恢复钩子的驱动,功能很简单,
就是使用 inline hook 方式恢复三个内核函数而已
要恢复的函数就是 NtOpenProcess NtReadVirtu NtWriteVirtualMemory 这三个
恢复的话,最好是计算一下原始函数的地址,别用我的这机器上的地址了.
找到要恢复的函数的当前地址 写入 jmp 原始地址 就ok了
按说应该不会太难,网上inline hook 代码一大堆,只是我机器没装编译驱动的sdk
例如 这是我自己用工具手工恢复的格式..
jmp 0x8058093A ntoskrnl.NtOpenProcess
jmp 0x805884F7 ntoskrnl.NtReadVirtu
jmp 0x805885EF ntoskrnl.NtWriteVirtualMemory
各位大侠全当练手的咯,帮帮忙啊
就是使用 inline hook 方式恢复三个内核函数而已
要恢复的函数就是 NtOpenProcess NtReadVirtu NtWriteVirtualMemory 这三个
恢复的话,最好是计算一下原始函数的地址,别用我的这机器上的地址了.
找到要恢复的函数的当前地址 写入 jmp 原始地址 就ok了
按说应该不会太难,网上inline hook 代码一大堆,只是我机器没装编译驱动的sdk
例如 这是我自己用工具手工恢复的格式..
jmp 0x8058093A ntoskrnl.NtOpenProcess
jmp 0x805884F7 ntoskrnl.NtReadVirtu
jmp 0x805885EF ntoskrnl.NtWriteVirtualMemory
各位大侠全当练手的咯,帮帮忙啊
|
|
|---|---|
