[求助]ssdt&inline 这情况怎么办在头部inline hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]ssdt&inline 这情况怎么办在头部inline hook

发表于: 2017-7-29 08:18 2901

[求助]ssdt&inline 这情况怎么办在头部inline hook

神大蛇

2017-7-29 08:18

2901

ssdt&inline
是先恢复ssdt jmp 到原始函数地址然后再恢复原始函数地址的机器码改成 (开机状态的) 8bff558bec 是吗当前函数状态的ssdthook我修改好了没遇到问题
遇到问题在下面看图

上面是原始函数的机器码(已经被inline_hook了) e9af90dd10(jmp 94e05a90) 改成开机状态的特征码 8bff558bec(mov edi,edi push ebp mov ebp ,esp )
用kd工具改写好了又被马上写回来了  在头部inline hook 怎么办呢
接下来用停止线程的办法是吗
找到魔域的进程查看进程线程  切换次数频繁的一个个的去试验是吗
大牛们发表下  我的思路对吗

QQ群582865430 过游戏驱动保护研究修改内核写外挂交流

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2018-8-17 15:54 被神大蛇编辑，原因：

收藏・0

免费・0

支持

最新回复 (2)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼恢复他干嘛，自己重载一份ntos一套带走或者保存一份干净的函数头，jmp回去 2017-7-29 09:15 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 3 楼 hook ZWLoadDriver 直接干掉 2017-7-30 03:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

神大蛇

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼恢复他干嘛，自己重载一份ntos一套带走或者保存一份干净的函数头，jmp回去 2017-7-29 09:15 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 3 楼 hook ZWLoadDriver 直接干掉 2017-7-30 03:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]ssdt&inline 这情况怎么办 在头部inline hook

[求助]ssdt&inline 这情况怎么办在头部inline hook