[原创]SSDT Hook的妙用－对抗ring0 inline hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]SSDT Hook的妙用－对抗ring0 inline hook

发表于: 2007-3-10 15:18 231214

[原创]SSDT Hook的妙用－对抗ring0 inline hook

堕落天才

2007-3-10 15:18

231214

查看主题内容

收藏・221

免费・7

支持

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 26 楼最初由 foxabu* 发布* 我觉得还是应该学习detour.lib那样HOOK 。自己准备一个小型反汇编器。因为很显然搂主的代码不具有通用性~~ 硬编码是很麻烦的东西~ 那你给大家共享一个，我们学习下。叫唤 2007-3-11 19:39 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 27 楼好东西,我顶 2007-3-11 20:44 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 28 楼直接hook 的那种，恢复起来好像比这个要稍微麻烦些 2007-3-11 20:45 0
马本斋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	马本斋 29 楼受教拉 2007-3-11 21:11 0
ppanger 雪币： 255 活跃值： (49) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 126 粉丝 5 关注私信	ppanger 4 30 楼 LZ写得真的很棒，很多问题都说得深入浅出！希望LZ能多处这样的精品，也希望和LZ交朋友！ ppanger2006@163.com 2007-3-11 21:43 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 31 楼支持~~~~~~~ 2007-3-12 02:19 0
byjove 雪币： 305 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	byjove 32 楼一定得支持一下,二下. 喜欢! 2007-3-12 13:07 0
byjove 雪币： 305 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	byjove 33 楼有一个小问题问下,如果从第10个字节开始不是完整的指令呢? 花指令那种. 2007-3-12 13:11 0
firabc 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	firabc 34 楼最初由 xIkUg* 发布* 很难保证内容的真实。。。到处都是陷阱同意，现在感觉是防不胜防呀 2007-3-12 18:42 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 35 楼如果在np之前载入驱动,好像还要解决很多问题 2007-3-12 18:57 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 36 楼最初由 aki* 发布* 如果在np之前载入驱动,好像还要解决很多问题要的！但本文不是专门破NP的，不过是说明一种方法。 2007-3-12 19:01 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 37 楼强贴留名 2007-3-12 19:46 0
笑熬浆糊雪币： 409 活跃值： (982) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 38 楼这个得顶~~~学习了 2007-3-13 20:04 0
siaoxing 雪币： 119 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 37 粉丝 0 关注私信	siaoxing 1 39 楼一个字好,先收藏,等我看得懂时再看 2007-3-14 13:49 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 40 楼实在的强贴，妙。 2007-3-14 16:25 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 41 楼果然是这样，长见识了 nt!NtOpenProcess: 805c0e1e e97f4f0438 jmp b8605da2 805c0e23 e9b92d4377 jmp f79f3be1 805c0e28 e8d374f7ff call nt!wctomb+0x45 (80538300) thank you so much!!! 2007-3-16 17:02 0
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 42 楼堕落天才果然后4字节名副其实！！！ 2007-3-16 18:06 0
linsion 雪币： 206 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	linsion 43 楼楼主这段代码怎么编译才能成功呀? 2007-3-16 22:41 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 44 楼最初由 heXer* 发布* 怎么确保读取文件的内容是真实的呢？文件读取也可能被hook欺骗。看到这个突然想，其实一切都可以被欺骗，我们的整个世界是不是一个其他生命的一个模拟场，或者这个世界都是虚拟的除了你自己是真实的，想想周围所有人都是虚拟的太恐怖了 2007-3-17 10:25 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 45 楼最初由 busy* 发布* 看到这个突然想，其实一切都可以被欺骗，我们的整个世界是不是一个其他生命的一个模拟场，或者这个世界都是虚拟的除了你自己是真实的，想想周围所有人都是虚拟的太恐怖了你最近没睡好？？ 2007-3-17 13:34 0
ossurrond 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 167 粉丝 0 关注私信	ossurrond 46 楼最初由 busy* 发布* 看到这个突然想，其实一切都可以被欺骗，我们的整个世界是不是一个其他生命的一个模拟场，或者这个世界都是虚拟的除了你自己是真实的，想想周围所有人都是虚拟的太恐怖了黑客帝国还没有醒。不过这个片子确实给人以深思。 2007-3-17 14:29 0
rainbow 雪币： 773 活跃值： (315) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 61 粉丝 2 关注私信	rainbow 1 47 楼强贴留名 2007-3-17 17:39 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 48 楼最初由 ossurrond* 发布* 黑客帝国还没有醒。不过这个片子确实给人以深思。其实不就是把人的所有神经系统HOOK一下就好了，那个不是科幻电影，离我们很近 2007-3-17 19:50 0
sdlqz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sdlqz 49 楼好帖，收藏！ 2007-4-28 09:00 0
yeihua 雪币： 214 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	yeihua 50 楼收藏之。。。。。。。 2007-4-28 11:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

堕落天才

发帖

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 26 楼最初由 foxabu* 发布* 我觉得还是应该学习detour.lib那样HOOK 。自己准备一个小型反汇编器。因为很显然搂主的代码不具有通用性~~ 硬编码是很麻烦的东西~ 那你给大家共享一个，我们学习下。叫唤 2007-3-11 19:39 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 27 楼好东西,我顶 2007-3-11 20:44 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 28 楼直接hook 的那种，恢复起来好像比这个要稍微麻烦些 2007-3-11 20:45 0
马本斋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	马本斋 29 楼受教拉 2007-3-11 21:11 0
ppanger 雪币： 255 活跃值： (49) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 126 粉丝 5 关注私信	ppanger 4 30 楼 LZ写得真的很棒，很多问题都说得深入浅出！希望LZ能多处这样的精品，也希望和LZ交朋友！ ppanger2006@163.com 2007-3-11 21:43 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 31 楼支持~~~~~~~ 2007-3-12 02:19 0
byjove 雪币： 305 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	byjove 32 楼一定得支持一下,二下. 喜欢! 2007-3-12 13:07 0
byjove 雪币： 305 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	byjove 33 楼有一个小问题问下,如果从第10个字节开始不是完整的指令呢? 花指令那种. 2007-3-12 13:11 0
firabc 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	firabc 34 楼最初由 xIkUg* 发布* 很难保证内容的真实。。。到处都是陷阱同意，现在感觉是防不胜防呀 2007-3-12 18:42 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 35 楼如果在np之前载入驱动,好像还要解决很多问题 2007-3-12 18:57 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 36 楼最初由 aki* 发布* 如果在np之前载入驱动,好像还要解决很多问题要的！但本文不是专门破NP的，不过是说明一种方法。 2007-3-12 19:01 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 37 楼强贴留名 2007-3-12 19:46 0
笑熬浆糊雪币： 409 活跃值： (982) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 38 楼这个得顶~~~学习了 2007-3-13 20:04 0
siaoxing 雪币： 119 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 37 粉丝 0 关注私信	siaoxing 1 39 楼一个字好,先收藏,等我看得懂时再看 2007-3-14 13:49 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 40 楼实在的强贴，妙。 2007-3-14 16:25 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 41 楼果然是这样，长见识了 nt!NtOpenProcess: 805c0e1e e97f4f0438 jmp b8605da2 805c0e23 e9b92d4377 jmp f79f3be1 805c0e28 e8d374f7ff call nt!wctomb+0x45 (80538300) thank you so much!!! 2007-3-16 17:02 0
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 42 楼堕落天才果然后4字节名副其实！！！ 2007-3-16 18:06 0
linsion 雪币： 206 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	linsion 43 楼楼主这段代码怎么编译才能成功呀? 2007-3-16 22:41 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 44 楼最初由 heXer* 发布* 怎么确保读取文件的内容是真实的呢？文件读取也可能被hook欺骗。看到这个突然想，其实一切都可以被欺骗，我们的整个世界是不是一个其他生命的一个模拟场，或者这个世界都是虚拟的除了你自己是真实的，想想周围所有人都是虚拟的太恐怖了 2007-3-17 10:25 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 45 楼最初由 busy* 发布* 看到这个突然想，其实一切都可以被欺骗，我们的整个世界是不是一个其他生命的一个模拟场，或者这个世界都是虚拟的除了你自己是真实的，想想周围所有人都是虚拟的太恐怖了你最近没睡好？？ 2007-3-17 13:34 0
ossurrond 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 167 粉丝 0 关注私信	ossurrond 46 楼最初由 busy* 发布* 看到这个突然想，其实一切都可以被欺骗，我们的整个世界是不是一个其他生命的一个模拟场，或者这个世界都是虚拟的除了你自己是真实的，想想周围所有人都是虚拟的太恐怖了黑客帝国还没有醒。不过这个片子确实给人以深思。 2007-3-17 14:29 0
rainbow 雪币： 773 活跃值： (315) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 61 粉丝 2 关注私信	rainbow 1 47 楼强贴留名 2007-3-17 17:39 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 48 楼最初由 ossurrond* 发布* 黑客帝国还没有醒。不过这个片子确实给人以深思。其实不就是把人的所有神经系统HOOK一下就好了，那个不是科幻电影，离我们很近 2007-3-17 19:50 0
sdlqz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sdlqz 49 楼好帖，收藏！ 2007-4-28 09:00 0
yeihua 雪币： 214 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	yeihua 50 楼收藏之。。。。。。。 2007-4-28 11:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复