[求助]inline hook 区别ssdt hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 2 楼 ssdt 是小兵 inline 是司令官 2013-1-6 11:35 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 3 楼额..我是新手能详细一点么. 2013-1-6 11:36 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 4 楼去看看论坛里面的 RootKit专题吧，清楚的很 2013-1-6 11:54 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 5 楼 \(^o^)/YES！上面最重要的是实践慢慢就会知道 2013-1-6 13:38 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 6 楼 inline hook 是改函数起始地址的机器码了 SSDT Hook是改函数表的那个地址了而SSDT 本来就是一个大数组所谓的SSDT HOOK 就是把数组里面的地址给替换掉了 2013-1-6 14:14 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 7 楼楼主我之前好像回过你的贴了把！哪个什么游戏的是你吗？ inline Hook是修改函数首部跳转到自己函数地址，可以ring 3也可以ring 0 SSDT Hook是修改SSDT表，是ring 0层的还有IAT Hook呢？这是修改导入表地址，是ring 3层的 2013-1-6 16:29 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼 inline hook ssdt hook 这2者，区别嘛，一个是暗度陈仓，另一个是偷梁换柱 2013-1-6 17:30 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 9 楼楼主说SSDT hook 是ring0层的？ 2013-1-6 18:40 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 10 楼我要改的内个游戏就是SSDT HOOK 所以我查看函数地址的时候会发现根本没有修改什么东西他只是把地址改了对于这种改怎么办呢? 如果是INLINE hook的话可以改函数头部跳回来那SSDT HOOK 该如何是好. 2013-1-6 18:48 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 11 楼针对这两种驱动 hook 方式改如何对付呢? 2013-1-6 18:49 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 12 楼额,感谢我回去看下的. 请问针对这两种驱动hook 方式该如何对付呢? 2013-1-6 18:49 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 13 楼 IAT\EAT\SSDT等都是改表，通俗说就是表里面有一个函数指针，就是改这个指针指向自己的函数。 inline是改哪里都行的，函数的任意一部分都可以inline hook，当然通用性不好。 2013-1-6 19:15 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 14 楼 SSDT不是ring 0层的吗？ 2013-1-6 20:23 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 15 楼可以把SSDT改回来就行了把。。。应该是这样 2013-1-6 20:23 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 16 楼基本懂了两个hook的区别了, 如果是inline hook的话可以再hook位置上面 hook然后执行代码跳回来但是如果是SSDT HOOK的话是改表该如何应对呢? 尝试过恢复但是驱动有检测 ,检测到你恢复了就重新改表hook 网上很多资料都是应对inline hook的如果是该表hook 该如何应对? 2013-1-6 21:40 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 17 楼我是初学者能推荐几篇文章么我搜索了下不知道看那些比较好 2013-1-6 21:44 0
appview 雪币： 738 活跃值： (3818) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 18 楼大家说的不错，我也再学习下 2013-1-6 22:19 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	einyboy 19 楼 ssdt是改表中的地址，inline hook是在函数内部改变代码 2013-1-6 23:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 2 楼 ssdt 是小兵 inline 是司令官 2013-1-6 11:35 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 3 楼额..我是新手能详细一点么. 2013-1-6 11:36 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 4 楼去看看论坛里面的 RootKit专题吧，清楚的很 2013-1-6 11:54 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 5 楼 \(^o^)/YES！上面最重要的是实践慢慢就会知道 2013-1-6 13:38 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 6 楼 inline hook 是改函数起始地址的机器码了 SSDT Hook是改函数表的那个地址了而SSDT 本来就是一个大数组所谓的SSDT HOOK 就是把数组里面的地址给替换掉了 2013-1-6 14:14 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 7 楼楼主我之前好像回过你的贴了把！哪个什么游戏的是你吗？ inline Hook是修改函数首部跳转到自己函数地址，可以ring 3也可以ring 0 SSDT Hook是修改SSDT表，是ring 0层的还有IAT Hook呢？这是修改导入表地址，是ring 3层的 2013-1-6 16:29 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼 inline hook ssdt hook 这2者，区别嘛，一个是暗度陈仓，另一个是偷梁换柱 2013-1-6 17:30 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 9 楼楼主说SSDT hook 是ring0层的？ 2013-1-6 18:40 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 10 楼我要改的内个游戏就是SSDT HOOK 所以我查看函数地址的时候会发现根本没有修改什么东西他只是把地址改了对于这种改怎么办呢? 如果是INLINE hook的话可以改函数头部跳回来那SSDT HOOK 该如何是好. 2013-1-6 18:48 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 11 楼针对这两种驱动 hook 方式改如何对付呢? 2013-1-6 18:49 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 12 楼额,感谢我回去看下的. 请问针对这两种驱动hook 方式该如何对付呢? 2013-1-6 18:49 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 13 楼 IAT\EAT\SSDT等都是改表，通俗说就是表里面有一个函数指针，就是改这个指针指向自己的函数。 inline是改哪里都行的，函数的任意一部分都可以inline hook，当然通用性不好。 2013-1-6 19:15 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 14 楼 SSDT不是ring 0层的吗？ 2013-1-6 20:23 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 15 楼可以把SSDT改回来就行了把。。。应该是这样 2013-1-6 20:23 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 16 楼基本懂了两个hook的区别了, 如果是inline hook的话可以再hook位置上面 hook然后执行代码跳回来但是如果是SSDT HOOK的话是改表该如何应对呢? 尝试过恢复但是驱动有检测 ,检测到你恢复了就重新改表hook 网上很多资料都是应对inline hook的如果是该表hook 该如何应对? 2013-1-6 21:40 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 17 楼我是初学者能推荐几篇文章么我搜索了下不知道看那些比较好 2013-1-6 21:44 0
appview 雪币： 738 活跃值： (3818) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 18 楼大家说的不错，我也再学习下 2013-1-6 22:19 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	einyboy 19 楼 ssdt是改表中的地址，inline hook是在函数内部改变代码 2013-1-6 23:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复