[原创]SSDT Hook的妙用－对抗ring0 inline hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]SSDT Hook的妙用－对抗ring0 inline hook

发表于: 2007-3-10 15:18 231214

[原创]SSDT Hook的妙用－对抗ring0 inline hook

堕落天才

2007-3-10 15:18

231214

查看主题内容

收藏・221

免费・7

支持

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
bkywh 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	bkywh 126 楼好厉害撒！！！！ 2009-9-22 20:21 0
高比拜仁雪币： 745 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	高比拜仁 127 楼看了这篇文章，真的对SSDT Hook更加深了解。谢谢LZ 2009-10-2 05:09 0
vivid 雪币： 486 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	vivid 128 楼不错，学习了！ 2009-10-16 08:24 0
xuzilin 雪币： 332 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	xuzilin 129 楼再次膜拜!!!!1 2009-10-25 15:31 0
jsfwleb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jsfwleb 130 楼好贴就得顶一下，楼主的方法给我们一个很好的思路，但是ＮＰ这类保护软件会不断的更新来弥补这个漏洞，希望以后能见到楼主更新更好的文章！ 2009-10-26 10:41 0
sooaoo 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	sooaoo 131 楼看贴留名!支持楼主 2009-10-26 15:37 0
yoyoaa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	yoyoaa 132 楼真是好文章，可惜还看不懂。慢慢学习。。。 2009-11-24 18:48 0
newzzc 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	newzzc 133 楼原来是这样，我的被瑞星SSDTHOOK了，恢复后再windbg就对了 2009-12-9 12:55 0
starskywh 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	starskywh 134 楼好啊. 2009-12-16 23:50 0
PAC 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	PAC 135 楼这个必须要顶一下 2010-3-10 16:16 0
十八九雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	十八九 136 楼学习了，辛苦 2010-3-26 10:15 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 137 楼好呀。。。。。。。 2010-3-26 10:37 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 138 楼关注不敢不顶 2010-3-26 10:52 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 139 楼正好在天书中有个思考题要求hook一个函数，正好用到，事过三年了，不知道以前我在干嘛 2010-3-30 21:36 0
huyongtq 雪币： 121 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 94 粉丝 0 关注私信	huyongtq 140 楼 HOOK 了之后一开新程序就死机了,, 我UNHOOK的时候也死机,,, 有点不明白的地方, 这里是什么意思 __asm { PUSH 0C4h ??? PUSH 804EB560h ??? jmp [JmpAddress] } 2010-5-12 08:09 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 141 楼必须支持！！！ 2010-5-14 21:48 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 142 楼其实加一个线程或一个始终不停检测就可以吧感觉这个比dll注入简单因为有copyonwrite 还的写个无关的全局钩子再hook 挺适合我这样的新手的 2010-5-19 15:47 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 143 楼 __asm { PUSH 0C4h ??? PUSH 804EB560h ??? //这个不是每个机子都一样的 jmp [JmpAddress] } 2010-5-19 15:48 0
msfan 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	msfan 144 楼不错的贴子，天才的一定要顶，好象只有天才这写了NP的相关东西哦，网上转全是转天才的.......，学习了 2010-6-25 16:09 0
flytosky 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	flytosky 145 楼经过不断的学习，终于能看懂这样的文章了~！！ 2010-6-29 18:15 0
hejiwen 雪币： 288 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 79 粉丝 0 关注私信	hejiwen 2 146 楼翻出来老帖，学习 2010-7-6 13:15 0
我走以后雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	我走以后 147 楼呵呵。正在学习驱动。。技术也只有在SSDT这个级别。 2010-9-1 19:29 0
cmvision 雪币： 416 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 40 粉丝 0 关注私信	cmvision 148 楼留个记号，将来有用时翻翻。 2010-9-1 21:08 0
sorosyun 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	sorosyun 149 楼文章最后一句说可以用来对付np? 如果np检查ssdt表不久可以了吗？难道np没有检查表，只是检查inline hook? 2010-9-17 17:27 0
SunV 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 71 粉丝 1 关注私信	SunV 150 楼此贴太经典了，拜读~~ 2010-10-3 01:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

堕落天才

发帖

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
bkywh 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	bkywh 126 楼好厉害撒！！！！ 2009-9-22 20:21 0
高比拜仁雪币： 745 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	高比拜仁 127 楼看了这篇文章，真的对SSDT Hook更加深了解。谢谢LZ 2009-10-2 05:09 0
vivid 雪币： 486 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	vivid 128 楼不错，学习了！ 2009-10-16 08:24 0
xuzilin 雪币： 332 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	xuzilin 129 楼再次膜拜!!!!1 2009-10-25 15:31 0
jsfwleb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jsfwleb 130 楼好贴就得顶一下，楼主的方法给我们一个很好的思路，但是ＮＰ这类保护软件会不断的更新来弥补这个漏洞，希望以后能见到楼主更新更好的文章！ 2009-10-26 10:41 0
sooaoo 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	sooaoo 131 楼看贴留名!支持楼主 2009-10-26 15:37 0
yoyoaa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	yoyoaa 132 楼真是好文章，可惜还看不懂。慢慢学习。。。 2009-11-24 18:48 0
newzzc 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	newzzc 133 楼原来是这样，我的被瑞星SSDTHOOK了，恢复后再windbg就对了 2009-12-9 12:55 0
starskywh 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	starskywh 134 楼好啊. 2009-12-16 23:50 0
PAC 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	PAC 135 楼这个必须要顶一下 2010-3-10 16:16 0
十八九雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	十八九 136 楼学习了，辛苦 2010-3-26 10:15 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 137 楼好呀。。。。。。。 2010-3-26 10:37 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 138 楼关注不敢不顶 2010-3-26 10:52 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 139 楼正好在天书中有个思考题要求hook一个函数，正好用到，事过三年了，不知道以前我在干嘛 2010-3-30 21:36 0
huyongtq 雪币： 121 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 94 粉丝 0 关注私信	huyongtq 140 楼 HOOK 了之后一开新程序就死机了,, 我UNHOOK的时候也死机,,, 有点不明白的地方, 这里是什么意思 __asm { PUSH 0C4h ??? PUSH 804EB560h ??? jmp [JmpAddress] } 2010-5-12 08:09 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 141 楼必须支持！！！ 2010-5-14 21:48 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 142 楼其实加一个线程或一个始终不停检测就可以吧感觉这个比dll注入简单因为有copyonwrite 还的写个无关的全局钩子再hook 挺适合我这样的新手的 2010-5-19 15:47 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 143 楼 __asm { PUSH 0C4h ??? PUSH 804EB560h ??? //这个不是每个机子都一样的 jmp [JmpAddress] } 2010-5-19 15:48 0
msfan 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	msfan 144 楼不错的贴子，天才的一定要顶，好象只有天才这写了NP的相关东西哦，网上转全是转天才的.......，学习了 2010-6-25 16:09 0
flytosky 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	flytosky 145 楼经过不断的学习，终于能看懂这样的文章了~！！ 2010-6-29 18:15 0
hejiwen 雪币： 288 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 79 粉丝 0 关注私信	hejiwen 2 146 楼翻出来老帖，学习 2010-7-6 13:15 0
我走以后雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	我走以后 147 楼呵呵。正在学习驱动。。技术也只有在SSDT这个级别。 2010-9-1 19:29 0
cmvision 雪币： 416 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 40 粉丝 0 关注私信	cmvision 148 楼留个记号，将来有用时翻翻。 2010-9-1 21:08 0
sorosyun 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	sorosyun 149 楼文章最后一句说可以用来对付np? 如果np检查ssdt表不久可以了吗？难道np没有检查表，只是检查inline hook? 2010-9-17 17:27 0
SunV 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 71 粉丝 1 关注私信	SunV 150 楼此贴太经典了，拜读~~ 2010-10-3 01:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复