[求助]驱动层检测R3进程API有没有被hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
DegerYang 雪币： 346 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 82 粉丝 0 关注私信	DegerYang 2 楼重载模块根重载内核一样 2016-12-8 08:40 0
sushuangju 雪币： 268 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	sushuangju 3 楼 ssdt hook可以比较ssdk原地址和当前地址。 2016-12-8 11:46 0
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 4 楼 1.得到R3 API的当前地址. 2.内核中映射对应的DLL 3.对比内存中的API字节码与磁盘文件是否一致. 2016-12-12 12:00 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼记得很早以前坛子里就有文章了自己搜搜吧主要步骤就是读PE对齐重定位后跟内存里的PE对比一般只比对TEXT 和PAGE段 IAT 部分稍微处理一下就可以了 2016-12-12 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
DegerYang 雪币： 346 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 82 粉丝 0 关注私信	DegerYang 2 楼重载模块根重载内核一样 2016-12-8 08:40 0
sushuangju 雪币： 268 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	sushuangju 3 楼 ssdt hook可以比较ssdk原地址和当前地址。 2016-12-8 11:46 0
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 4 楼 1.得到R3 API的当前地址. 2.内核中映射对应的DLL 3.对比内存中的API字节码与磁盘文件是否一致. 2016-12-12 12:00 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼记得很早以前坛子里就有文章了自己搜搜吧主要步骤就是读PE对齐重定位后跟内存里的PE对比一般只比对TEXT 和PAGE段 IAT 部分稍微处理一下就可以了 2016-12-12 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复