[讨论]关于“内核重载”的一些疑问，求大佬解答-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
palkiver 雪币： 204 活跃值： (894) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 107 粉丝 2 关注私信	palkiver 2 楼初始化的内核对象怎么办，API访问的对象都是互相牵连的，更别说windows喜欢用链表贯穿。 2019-7-16 18:44 0
Mr.hack 雪币： 3085 活跃值： (3623) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 136 粉丝 21 关注私信	Mr.hack 3 楼 palkiver 初始化的内核对象怎么办，API访问的对象都是互相牵连的，更别说windows喜欢用链表贯穿。也就是说并不能真正取代老内核？只能让自己指定的进程指定的API走新内核？？ 2019-7-16 18:49 0
拍拖雪币： 1790 活跃值： (3530) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 259 粉丝 9 关注私信	拍拖 2 4 楼 2.修复重定位表；这个怎么修的？指向原内核数据区还是展开的IMANG自己的数据区？ 2019-7-16 18:55 0
Mr.hack 雪币： 3085 活跃值： (3623) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 136 粉丝 21 关注私信	Mr.hack 5 楼拍拖 2.修复重定位表；这个怎么修的？指向原内核数据区还是展开的IMANG自己的数据区？我试了两种修复方案，1.按照重定位表正常修复;2.判断要修复的地址指向的是数据还是代码，如果是数据就把这个地址重定位到老内核，也就是使用老内核的数据，如果是指向代码就重定位到新内核使用新内核的代码。两种方案都失败蓝屏了 2019-7-16 19:03 0
拍拖雪币： 1790 活跃值： (3530) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 259 粉丝 9 关注私信	拍拖 2 6 楼你说的太模糊了。蓝屏截图可以发下。建议你做下面方法定位下：1、你重载完成后只替换一个SSDT表项（不被软件频繁访问的，然后自己调用下看看会不会蓝） 2019-7-17 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
palkiver 雪币： 204 活跃值： (894) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 107 粉丝 2 关注私信	palkiver 2 楼初始化的内核对象怎么办，API访问的对象都是互相牵连的，更别说windows喜欢用链表贯穿。 2019-7-16 18:44 0
Mr.hack 雪币： 3085 活跃值： (3623) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 136 粉丝 21 关注私信	Mr.hack 3 楼 palkiver 初始化的内核对象怎么办，API访问的对象都是互相牵连的，更别说windows喜欢用链表贯穿。也就是说并不能真正取代老内核？只能让自己指定的进程指定的API走新内核？？ 2019-7-16 18:49 0
拍拖雪币： 1790 活跃值： (3530) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 259 粉丝 9 关注私信	拍拖 2 4 楼 2.修复重定位表；这个怎么修的？指向原内核数据区还是展开的IMANG自己的数据区？ 2019-7-16 18:55 0
Mr.hack 雪币： 3085 活跃值： (3623) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 136 粉丝 21 关注私信	Mr.hack 5 楼拍拖 2.修复重定位表；这个怎么修的？指向原内核数据区还是展开的IMANG自己的数据区？我试了两种修复方案，1.按照重定位表正常修复;2.判断要修复的地址指向的是数据还是代码，如果是数据就把这个地址重定位到老内核，也就是使用老内核的数据，如果是指向代码就重定位到新内核使用新内核的代码。两种方案都失败蓝屏了 2019-7-16 19:03 0
拍拖雪币： 1790 活跃值： (3530) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 259 粉丝 9 关注私信	拍拖 2 6 楼你说的太模糊了。蓝屏截图可以发下。建议你做下面方法定位下：1、你重载完成后只替换一个SSDT表项（不被软件频繁访问的，然后自己调用下看看会不会蓝） 2019-7-17 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复