这些inlinehook是谁干的呢-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 这些inlinehook是谁干的呢 0.00雪花

发表于: 2014-5-17 14:13 2723

[旧帖] 这些inlinehook是谁干的呢 0.00雪花

猎人猎枪

2014-5-17 14:13

2723

刚在win7下装了个双系统xp sp3，自带有360我把它卸载了，可是总有这么多inlinehook，卸载不掉，

len(1) RtlPrefetchMemoryNonTemporal[ntkrnlpa.exe] [0x805476F4]->[-] Inline 90 C3

len(1) KiFastCallEntry[ntkrnlpa.exe] [0x8054277A]->[-] Inline 06 05

len(18) [ntkrnlpa.exe] [0x80546CEE]->[-] Inline E0 25 7F FF FF FF 0F 22 E0 0D 80 00 00 00 0F 22 E0 C3 D8 0F 22 D8 C3 0F 20 E0 25 7F FF FF FF 0F 22 E0 0D 80

len(1) [ntkrnlpa.exe] [0x80546D06]->[-] Inline 00 C3

上面第三处inlinehook的反汇编如下，

[PC Hunter Standard][[Disasm]]: 51
地址二进制汇编
80546CEC 0F20E0 mov eax, cr4
80546CEF 25 7FFFFFFF and eax, 0FFFFFF7F
80546CF4 0F22E0 mov cr4, eax
80546CF7 0D 80000000 or eax, 80
80546CFC 0F22E0 mov cr4, eax
80546CFF C3 retn

求教各位高手，这是谁hook的啊，怎么删除啊，如果不删除KiFastCallEntry是不是不能写自己的Hook KiFastCallEntry呢。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

1.PNG （68.73kb，64次下载）

收藏・1

免费・0

支持

最新回复 (3)
szXxm 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	szXxm 2 楼 1字节的是系统自己改的吧。。。 2014-5-17 15:20 0
猎人猎枪雪币： 287 活跃值： (343) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 48 粉丝 0 关注私信	猎人猎枪 3 楼哦，是吗，下面那个长的呢，mov eax,cr4是啥意思， 2014-5-17 15:54 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼 hot patching 2014-5-17 18:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

猎人猎枪

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
szXxm 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	szXxm 2 楼 1字节的是系统自己改的吧。。。 2014-5-17 15:20 0
猎人猎枪雪币： 287 活跃值： (343) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 48 粉丝 0 关注私信	猎人猎枪 3 楼哦，是吗，下面那个长的呢，mov eax,cr4是啥意思， 2014-5-17 15:54 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼 hot patching 2014-5-17 18:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复