[原创]SSDT Hook的妙用－对抗ring0 inline hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
ertyui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	ertyui 76 楼好贴，学习中 2007-9-14 20:34 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 77 楼当然是真的很牛！要不你也来点有技术含量的 2007-9-20 10:52 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 78 楼弱弱的问一句 804E3F08 ->8057559e 8057559e 值哪里来的？ 2007-9-27 23:03 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 79 楼好厉害撒！ 2007-9-28 14:29 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 80 楼别光顾顶贴，回答一下我的问题好吗？ 2007-9-28 23:17 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 81 楼硬编码啊. 蓝屏危险~ 2007-10-9 20:03 0
魔幻水晶雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	魔幻水晶 82 楼頂，好東西多照顧俺們菜鳥點哈 2007-10-18 01:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 83 楼 push 0C4h push 804eb560h //共十个字节这两个地址去哪里得到了呢？ 2007-11-11 20:16 0
crzlvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	crzlvb 84 楼 lkd> u 8057559e nt!NtOpenProcess: 8057559e 68c4000000 push 0C4h 805755a3 6860b54e80 push offset nt!ObReferenceObjectByPointer+0x127 (804eb560) 805755a8 e8e5e4f6ff call nt!InterlockedPushEntrySList+0x79 (804e3a92) 805755ad 33f6 xor esi,esi 楼上没细看。 2007-11-11 22:33 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 85 楼文章中提到的＂windbg.exe＂工具，谁有呢？本地传一个我下载．．另外＂804e3d20) + 0x7A * 4 = 804E3F08,然后804E3F08 ->8057559e 这个就是OpenProcess系统服务函数所在＂＂804E3F08 ->8057559e ＂这里是什么意思？ 2007-11-12 16:51 0
woainilala 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	woainilala 86 楼关注中………… 2007-11-13 09:39 0
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 87 楼学习了！支持！ 2007-11-29 22:58 0
wuqingli 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wuqingli 88 楼牛啊......ding... 2007-12-24 12:52 0
kagayaki 雪币： 231 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 89 楼支持一下,等待再续 2007-12-26 05:14 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 90 楼 john john 2007-12-26 10:09 0
jdcgzb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jdcgzb 91 楼好东西，值得慢慢细读品味。 2008-1-15 13:31 0
bjjgq 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 64 粉丝 0 关注私信	bjjgq 92 楼严重关注，从头学起 2008-1-25 08:00 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 93 楼 NtOpenProcess 的头10个字节怎么查出来的？（好像你们很多人都会） 2008-2-19 16:44 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 94 楼 NtOpenProcess的服务id是如何来的？ 2008-4-19 13:50 0
小黑DD 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	小黑DD 95 楼初学SSDT 支持 ——returns 2008-5-1 22:50 0
totin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	totin 96 楼找函数地址，改写，过滤，返回，这些都感觉细心一点就可以了。反而觉得，修改SSDT的内存保护机制更有挑战性，楼主可以说说心得吗？ 2008-7-23 00:22 0
shenqiwei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	shenqiwei 97 楼破解爱好者群:66586711 2008-7-23 00:41 0
ainwx 雪币： 93 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	ainwx 98 楼感谢楼主简洁清晰的讲解，使看似复杂的东西变得很简单了，支持一下！ 2008-9-22 13:20 0
comanso 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	comanso 99 楼收下慢慢看... 2008-9-23 11:39 0
btba 雪币： 217 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	btba 100 楼好贴,浅显易懂. 2008-9-27 18:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
ertyui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	ertyui 76 楼好贴，学习中 2007-9-14 20:34 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 77 楼当然是真的很牛！要不你也来点有技术含量的 2007-9-20 10:52 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 78 楼弱弱的问一句 804E3F08 ->8057559e 8057559e 值哪里来的？ 2007-9-27 23:03 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 79 楼好厉害撒！ 2007-9-28 14:29 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 80 楼别光顾顶贴，回答一下我的问题好吗？ 2007-9-28 23:17 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 81 楼硬编码啊. 蓝屏危险~ 2007-10-9 20:03 0
魔幻水晶雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	魔幻水晶 82 楼頂，好東西多照顧俺們菜鳥點哈 2007-10-18 01:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 83 楼 push 0C4h push 804eb560h //共十个字节这两个地址去哪里得到了呢？ 2007-11-11 20:16 0
crzlvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	crzlvb 84 楼 lkd> u 8057559e nt!NtOpenProcess: 8057559e 68c4000000 push 0C4h 805755a3 6860b54e80 push offset nt!ObReferenceObjectByPointer+0x127 (804eb560) 805755a8 e8e5e4f6ff call nt!InterlockedPushEntrySList+0x79 (804e3a92) 805755ad 33f6 xor esi,esi 楼上没细看。 2007-11-11 22:33 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 85 楼文章中提到的＂windbg.exe＂工具，谁有呢？本地传一个我下载．．另外＂804e3d20) + 0x7A * 4 = 804E3F08,然后804E3F08 ->8057559e 这个就是OpenProcess系统服务函数所在＂＂804E3F08 ->8057559e ＂这里是什么意思？ 2007-11-12 16:51 0
woainilala 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	woainilala 86 楼关注中………… 2007-11-13 09:39 0
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 87 楼学习了！支持！ 2007-11-29 22:58 0
wuqingli 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wuqingli 88 楼牛啊......ding... 2007-12-24 12:52 0
kagayaki 雪币： 231 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 89 楼支持一下,等待再续 2007-12-26 05:14 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 90 楼 john john 2007-12-26 10:09 0
jdcgzb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jdcgzb 91 楼好东西，值得慢慢细读品味。 2008-1-15 13:31 0
bjjgq 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 64 粉丝 0 关注私信	bjjgq 92 楼严重关注，从头学起 2008-1-25 08:00 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 93 楼 NtOpenProcess 的头10个字节怎么查出来的？（好像你们很多人都会） 2008-2-19 16:44 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 94 楼 NtOpenProcess的服务id是如何来的？ 2008-4-19 13:50 0
小黑DD 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	小黑DD 95 楼初学SSDT 支持 ——returns 2008-5-1 22:50 0
totin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	totin 96 楼找函数地址，改写，过滤，返回，这些都感觉细心一点就可以了。反而觉得，修改SSDT的内存保护机制更有挑战性，楼主可以说说心得吗？ 2008-7-23 00:22 0
shenqiwei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	shenqiwei 97 楼破解爱好者群:66586711 2008-7-23 00:41 0
ainwx 雪币： 93 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	ainwx 98 楼感谢楼主简洁清晰的讲解，使看似复杂的东西变得很简单了，支持一下！ 2008-9-22 13:20 0
comanso 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	comanso 99 楼收下慢慢看... 2008-9-23 11:39 0
btba 雪币： 217 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	btba 100 楼好贴,浅显易懂. 2008-9-27 18:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复