[讨论]SSDT函数中Ininehook的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
Dlnn 雪币： 40 活跃值： (672) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 71 粉丝 1 关注私信	Dlnn 2 楼那是你没冲定位计算才出现的误差吧直接取是不行的 2013-11-8 18:20 0
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 167 粉丝 2 关注私信	grusirna 1 3 楼 1.SSDT表只是ntkrnlpa.exe模块N多函数中的一部分,是不是集中排列的这个不清楚,除非你确定,不然,猜测这种可能性很小,具体没研究,待楼主自己试验下 2.启动的时候已经加载ntkrnlpa.exe,你这里是否用的文件映射?映射的话需要模拟现存的ntkrnlpa.exe模块环境,比如模块当前的基址,自处理里面所有的重定位,这两点处理好了,直接比较应该就是比较可靠的 2013-11-8 20:13 0
flywest 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	flywest 4 楼 1、这个也没有试，当不同字节数小于等于3个时我将其排除掉，这样统计下来SSDT表里面的函数被hook的个数在10个以内，不知道这样能不能说明这个问题？ 2、我是用的文件映射来做的，得到了基址，然后对比的 2013-11-9 10:12 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 5 楼注意某些指令后面的地址是绝对地址，这样重载的内核中的代码就会和原有内核中不一样。不过这些基本都会被重定位，处理一下就好。另外建议用好微软的内核调试符号 2013-11-9 14:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
Dlnn 雪币： 40 活跃值： (672) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 71 粉丝 1 关注私信	Dlnn 2 楼那是你没冲定位计算才出现的误差吧直接取是不行的 2013-11-8 18:20 0
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 167 粉丝 2 关注私信	grusirna 1 3 楼 1.SSDT表只是ntkrnlpa.exe模块N多函数中的一部分,是不是集中排列的这个不清楚,除非你确定,不然,猜测这种可能性很小,具体没研究,待楼主自己试验下 2.启动的时候已经加载ntkrnlpa.exe,你这里是否用的文件映射?映射的话需要模拟现存的ntkrnlpa.exe模块环境,比如模块当前的基址,自处理里面所有的重定位,这两点处理好了,直接比较应该就是比较可靠的 2013-11-8 20:13 0
flywest 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 15 粉丝 0 关注私信	flywest 4 楼 1、这个也没有试，当不同字节数小于等于3个时我将其排除掉，这样统计下来SSDT表里面的函数被hook的个数在10个以内，不知道这样能不能说明这个问题？ 2、我是用的文件映射来做的，得到了基址，然后对比的 2013-11-9 10:12 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 5 楼注意某些指令后面的地址是绝对地址，这样重载的内核中的代码就会和原有内核中不一样。不过这些基本都会被重定位，处理一下就好。另外建议用好微软的内核调试符号 2013-11-9 14:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复