[求助]如何绕过 KeAttachProcess？？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
marcofly 雪币： 30 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	marcofly 2 楼 ①直接恢复KiAttchProcess的钩子（可以通过下“内存读”断点:ba r1 0xXXXXXX,判断TP是否有检测） ②自己另外构造一个KiAttchProcess函数，而我们只需要对KeAttachProcess中的第一个E8处进行Inline Hook ------------------------------------------ 论坛里有很多相关资料 2013-7-9 20:52 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 3 楼拿xuetr恢复，如果恢复就重新hook的话，双调看看是否是xx频繁读取address字节！ 2013-7-9 22:17 0
kec 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	kec 4 楼我得到的答案是,重载内核. 2013-8-15 15:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
marcofly 雪币： 30 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	marcofly 2 楼 ①直接恢复KiAttchProcess的钩子（可以通过下“内存读”断点:ba r1 0xXXXXXX,判断TP是否有检测） ②自己另外构造一个KiAttchProcess函数，而我们只需要对KeAttachProcess中的第一个E8处进行Inline Hook ------------------------------------------ 论坛里有很多相关资料 2013-7-9 20:52 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 3 楼拿xuetr恢复，如果恢复就重新hook的话，双调看看是否是xx频繁读取address字节！ 2013-7-9 22:17 0
kec 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	kec 4 楼我得到的答案是,重载内核. 2013-8-15 15:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复