[求助]小白提问!如何获得被Hook之前的指令-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
黑色刺客雪币： 0 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 117 粉丝 1 关注私信	黑色刺客 2 楼获取相对偏移,然后用文件映射一个新的ntkrnlpa.exe,然后就然后了 2013-6-15 14:04 0
wantsee 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wantsee 3 楼恩谢楼上,能不能具体说说用什么API映射,本人小白,呵呵 2013-6-15 14:16 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 4 楼你可以先获取ntkrnlpa.exe的基地址，然后计算出可能被下Hook的RVA,接下来读取文件ntkrnlpa.exe分析出可能被下Hook的RVA的机器码是否一样？但是如果这个RVA是有处于重定位处，那你在机器码对比之前需要模拟ntkrnlpa.exe的基地址进行机器码修改后再做比较 2013-6-15 14:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
黑色刺客雪币： 0 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 117 粉丝 1 关注私信	黑色刺客 2 楼获取相对偏移,然后用文件映射一个新的ntkrnlpa.exe,然后就然后了 2013-6-15 14:04 0
wantsee 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wantsee 3 楼恩谢楼上,能不能具体说说用什么API映射,本人小白,呵呵 2013-6-15 14:16 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 4 楼你可以先获取ntkrnlpa.exe的基地址，然后计算出可能被下Hook的RVA,接下来读取文件ntkrnlpa.exe分析出可能被下Hook的RVA的机器码是否一样？但是如果这个RVA是有处于重定位处，那你在机器码对比之前需要模拟ntkrnlpa.exe的基地址进行机器码修改后再做比较 2013-6-15 14:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复