-
-
[旧帖]
这些inlinehook是谁干的呢
0.00雪花
-
发表于:
2014-5-17 14:13
2724
-
[旧帖] 这些inlinehook是谁干的呢
0.00雪花
刚在win7下装了个双系统xp sp3,自带有360我把它卸载了,可是总有这么多inlinehook,卸载不掉,
len(1) RtlPrefetchMemoryNonTemporal[ntkrnlpa.exe] [0x805476F4]->[-] Inline 90 C3
len(1) KiFastCallEntry[ntkrnlpa.exe] [0x8054277A]->[-] Inline 06 05
len(18) [ntkrnlpa.exe] [0x80546CEE]->[-] Inline E0 25 7F FF FF FF 0F 22 E0 0D 80 00 00 00 0F 22 E0 C3 D8 0F 22 D8 C3 0F 20 E0 25 7F FF FF FF 0F 22 E0 0D 80
len(1) [ntkrnlpa.exe] [0x80546D06]->[-] Inline 00 C3
上面第三处inlinehook的反汇编如下,
[PC Hunter Standard][[Disasm]]: 51
地址 二进制 汇编
80546CEC 0F20E0 mov eax, cr4
80546CEF 25 7FFFFFFF and eax, 0FFFFFF7F
80546CF4 0F22E0 mov cr4, eax
80546CF7 0D 80000000 or eax, 80
80546CFC 0F22E0 mov cr4, eax
80546CFF C3 retn
求教各位高手,这是谁hook的啊,怎么删除啊,如果不删除KiFastCallEntry是不是不能写自己的Hook KiFastCallEntry呢。
[课程]Linux pwn 探索篇!