首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]重载内核全程分析笔记
发表于: 2013-8-20 20:19 101127

[原创]重载内核全程分析笔记

Speeday 活跃值
8
2013-8-20 20:19
101127

查看主题内容

收藏
免费 6
支持
分享
最新回复 (152)
正happy
雪    币: 207
活跃值: (26)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
26
文笔很赞~思路清晰,
PS:谢谢广告~
2013-8-21 14:36
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
27
原文已更新,希望新增的那个图片可以帮助理解。
2013-8-21 15:33
0
fatecaster
雪    币: 135
活跃值: (63)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
28
请问下我把第一篇文章hook ssdt的sys文件用SRVINSTW新建服务,然后启动,提示驱动已经加载,但是没有效果,不知道我什么地方弄错了。dbgview没有输出。
ps:lz的帖子写的很清楚,我们菜鸟也能跟着学下了。
2013-8-21 16:25
0
永驻零一
雪    币: 46
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
29
楼主很可爱
楼主很认真
楼主 你看了什么书
2013-8-21 16:37
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
30
如果你驱动确实加载成功了,那只能说是系统问题了。我这个驱动是在xp sp3下测试的,win7的话hook的函数就不一样了,因为ssdt索引号不一样,你可以打开xuetr看看有没有函数被挂钩。
2013-8-21 16:54
0
zhczf
雪    币: 10867
活跃值: (17252)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
31
过来支持楼主分享经验,不错啊
2013-8-21 17:33
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
32
擦,你这是在夸奖我么?
2013-8-21 19:28
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
33
还没找到好的书看啊,混论坛学到的。
2013-8-22 19:20
0
永驻零一
雪    币: 46
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
34
混论坛我也混了
怎么没学到这些
2013-8-22 20:05
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
35
之前的ssdt修正我觉得没讲清楚 ,现在重新整理了一下,如果之前有误导大家 ,请见谅。
2013-8-22 23:24
0
PPTV
雪    币: 9560
活跃值: (2391)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
36
markmark
2013-8-23 00:30
0
lylxd
雪    币: 4878
活跃值: (3122)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
37
很详细,谢谢楼主教学。
2013-8-23 08:18
0
黑色舞曲
雪    币: 1411
活跃值: (692)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
38
楼主你是菜鸟的话,我不知道怎么称呼自己了都,想学习,还请指点
2013-8-23 08:51
0
tigerwood
雪    币: 1906
活跃值: (712)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
39
好文啊,支持一下,呵呵
2013-8-23 09:02
0
lhwqqq
雪    币: 47
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
40
向楼主学习调试方法
2013-8-23 09:50
0
mumaren
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
41
果断mark
谢谢
2013-8-23 12:02
0
jayfree
雪    币: 134
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
42
顶楼主学习态度!
2013-8-23 13:41
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
43
楼主算是真正Share了.
2013-8-23 14:22
0
强烈谴责
雪    币: 14
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
44
这种方法只能对付服务表里面的ssdt hook吧,inline 的不起作用的~
2013-8-23 14:39
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
45
inline hook 一样有用啊,我现在走新内核,根本不用管老内核被Hook成什么样,新内核是干净的。你可以看看新内核中ssdt函数的地址,老内核和新内核地址完全不一样。
2013-8-23 15:43
0
强烈谴责
雪    币: 14
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
46
刚才试了一下 确实行!!!
2013-8-23 16:07
0
justlovemm
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
47
感谢楼主,感谢老V,感谢A大
2013-8-23 22:17
0
chenjinfff
雪    币: 42
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
48
内核重载也被放出来了,哎。。。
2013-8-23 23:00
0
Rookietp
雪    币: 1042
活跃值: (470)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
49
非常喜欢楼主的文章
2013-8-23 23:00
0
losed
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
50
这个真心牛逼。。
2013-8-23 23:37
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//