首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
发表于: 2007-4-14 11:09 41293

[原创]另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)

堕落天才 活跃值
10
2007-4-14 11:09
41293

*****************************************************************************
*标题:【原创】另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)  *
*作者:堕落天才                                                              *
*日期:2007年4月14号                                                         *
*****************************************************************************

    先废话,当初是为了绕开NP对sysenter保护而想出来的,后来发现连RootkitUnhooker都绕了.

    什么是sysenter hook我也不罗唆了,一般的拦截方法就是通过rdmsr wrmsr 两个指令把原来的sysenter地址改成自己的sysenter地址来实现的.这种方法使用方便,但检测也很容易.
    这里介绍的另外一种方法不改变sysenter地址,而是通过直接在原来sysenter地址里面写跳转代码来实现的,这实际上跟一般的函数头inline hook一样.这样rootkit检测工具就不会认为sysenter已经改变(实际上也是没变).
    一般的rootkit检测工具检测函数inline hook是通过检测长跳转指令0xE9的来判断跳转距离是不是超出函数所在的模块范围来确定的.但是实现跳转我们也可以借助寄存器或变量(用变量跳转需要涉及重定位问题,麻烦.所以一般用寄存器),这样跳转指令就不是0xE9了而是0xFF,这个绝大多数rootkit检测工具是检测不到的(包括著名的RootkitUnhooker,VICE).

    由于我们已经改变了KiFastCall函数头,所以我们只能把原来的函数头代码放到另外一个地方执行(动态分配内存,当然如果不考虑兼容性硬编码也没问题),然后再跳转回来.这里使用了"三级跳",大概是这个样子.
    sysenter->KiFastCall
             JMP -> MyKiFastCall(这里进行拦截或什么的)
                    JMP -> KiFastCall head code (这里执行原来KiFastCall函数头代码)
                           JMP -> KiFastCall + N(已经执行指令长度)
///////////////////////////////////////////////////////////////////////////////////////////////////  
//堕落天才
//2007年4月14日
#include<ntddk.h>
#include "OpCodeSize.h"

ULONG uSysenter;           //sysenter地址
UCHAR uOrigSysenterHead[8];//保存原来的八个字节函数头
PUCHAR pMovedSysenterCode; //把原来的KiFastCall函数头保存在这里
ULONG i;                   //记录服务ID
__declspec(naked) void MyKiFastCallEntry(void)
{
  __asm{
            pop  edi     //因为用到了edi来跳转 这里恢复
             mov  i, eax  //得到服务ID
  }
  __asm{  
           pushad
           push fs
             push 0x30
            pop fs
  }
  
  DbgPrint("sysenter was hooked! Get service ID:%X",i); //证明自己存在

  __asm{
             pop fs
             popad    
    jmp pMovedSysenterCode //第二跳,跳转到原来的函数头代码 
  }
  
}
//////////////////////////////////////////////////////
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{    
  __asm{
    cli
             mov  eax,cr0
    and  eax,not 10000h
    mov  cr0,eax
  }

  memcpy((PVOID)uSysenter,uOrigSysenterHead,8);//把原来函数头的八个字节恢复

  __asm{
    mov  eax,cr0
            or   eax,10000h
    mov  cr0,eax
    sti
  }
  ExFreePool(pMovedSysenterCode); // 释放分配的内存
  DbgPrint("Unload sysenterHook");
}
////////////////////////////////////////////////////////

VOID HookSysenter()
{
  UCHAR  cHookCode[8] = { 0x57,          //push edi       第一跳,从KiFastCall跳到MyKiFastCallEntry.并绕过rootkit检测工具检测
                          0xBF,0,0,0,0,  //mov  edi,0000
                          0xFF,0xE7};    //jmp  edi

  UCHAR  JmpCode[]={0xE9,0,0,0,0};       //jmp 0000 第三跳,从KiFastCall函数头代码跳转到原来KiFastCall+N

  int    nCopyLen = 0;
  int    nPos = 0;

  __asm{
          mov ecx,0x176
            rdmsr
    mov uSysenter,eax  //得到KiFastCallEntry地址
  }
  DbgPrint("sysenter:0x%08X",uSysenter);

  nPos = uSysenter;
   while(nCopyLen<8){ //我们要改写的函数头至少需要8字节 这里计算实际需要COPY的代码长度 因为我们不能把一条完整的指令打断
    nCopyLen += GetOpCodeSize((PVOID)nPos);  //参考1
    nPos = uSysenter + nCopyLen;
  }
  
  DbgPrint("copy code lenght:%d",nCopyLen);

  pMovedSysenterCode = ExAllocatePool(NonPagedPool,20);

  memcpy(uOrigSysenterHead,(PVOID)uSysenter,8);//备份原来8字节代码

  *((ULONG*)(JmpCode+1)) = (uSysenter + nCopyLen) - ((ULONG)pMovedSysenterCode + nCopyLen)- 5;//计算跳转地址

  memcpy(pMovedSysenterCode,(PVOID)uSysenter,nCopyLen); //把原来的函数头放到新分配的内存
  memcpy((PVOID)(pMovedSysenterCode + nCopyLen),JmpCode,5); //把跳转代码COPY上去

  *((ULONG*)(cHookCode+2)) = (ULONG)MyKiFastCallEntry; //HOOK地址
  
  DbgPrint("Saved sysenter code:0x%08X",pMovedSysenterCode);
  DbgPrint("MyKiFastCallEntry:0x%08X",MyKiFastCallEntry);

  __asm{
    cli
            mov  eax,cr0
    and  eax,not 10000h
    mov  cr0,eax
  }

  memcpy((PVOID)uSysenter,cHookCode,8);//把改写原来函数头

  __asm{
    mov  eax,cr0
            or   eax,10000h
    mov  cr0,eax
    sti
  }

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{

  DbgPrint("Welcome to sysenterhook.sys");
  DriverObject->DriverUnload = OnUnload;
  HookSysenter();
  return STATUS_SUCCESS;
}    
/////////////////////////////////////////////////////////////////////////////////////////////////// 
以上代码在 XP SP2中文 + RootkitUnhooker下测试通过 

同理 IDT hook也可以用这种方法实现,HOOK的实质是改变程序流程,无论在哪里改变
*************************************************************************************************
参考1, 海风月影,【分享】西裤哥的 Hook Api Lib 0.2 For C 


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (32)
gwJiang
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
太有才了
2007-4-14 11:38
0
kryso
雪    币: 12
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
好文啊...
2007-4-14 11:43
0
Lvg
雪    币: 235
活跃值: (29)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
4
天才强,严重学习了
2007-4-14 12:03
0
bzhkl
雪    币: 437
活跃值: (273)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
私信
5
学习 = =
2007-4-14 13:06
0
colboy
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
支持!!!!!!!!!!!
2007-4-14 15:07
0
colboy
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
支持!!!!!!!!!!!
2007-4-14 15:23
0
linsion
雪    币: 206
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
怎么加入opcodesize.h死活编译不过呀?
2007-4-14 15:37
0
堕落天才
雪    币: 293
活跃值: (110)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
9
请参考  海风月影,【分享】西裤哥的 Hook Api Lib 0.2 For C这篇文章
2007-4-14 15:44
0
linsion
雪    币: 206
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
加入了出现这么多错误!
Compiling...
sysentryHook.c
F:\Windows Program\WINDDK\2600\inc\crt\WINBASE.H(293) : error C2061: syntax error : identifier 'CRITICAL_SECTION'
F:\Windows Program\WINDDK\2600\inc\crt\WINBASE.H(293) : error C2059: syntax error : ';'
F:\Windows Program\WINDDK\2600\inc\crt\WINBASE.H(294) : error C2061: syntax error : identifier 'PCRITICAL_SECTION'
F:\Windows Program\WINDDK\2600\inc\crt\WINBASE.H(294) : error C2059: syntax error : ';'
2007-4-14 16:40
0
linsion
雪    币: 206
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
不知你加入的那个头文件是怎样的?
可不可以上传一下呢?
2007-4-14 16:43
0
garasmc
雪    币: 114
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
强贴!学习,谢谢天才分享
2007-4-14 17:21
0
linsion
雪    币: 206
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
看了驱动开发网上写的那个!

#define Naked   __declspec( naked )

ULONG MaskTable[518] =
{
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000000, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000000, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000000, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000000, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000008, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000008, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000008, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00008000, 0x00008000, 0x00000008, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00004000, 0x00004000,
  0x00000008, 0x00000008, 0x00001008, 0x00000018,
  0x00002000, 0x00006000, 0x00000100, 0x00004100,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00004100, 0x00006000, 0x00004100, 0x00004100,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00002002, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000020, 0x00000020, 0x00000020, 0x00000020,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000100, 0x00002000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00002000, 0x00002000, 0x00002000, 0x00002000,
  0x00002000, 0x00002000, 0x00002000, 0x00002000,
  0x00004100, 0x00004100, 0x00000200, 0x00000000,
  0x00004000, 0x00004000, 0x00004100, 0x00006000,
  0x00000300, 0x00000000, 0x00000200, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00000100, 0x00000100, 0x00000000, 0x00000000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00000100, 0x00000100, 0x00000100, 0x00000100,
  0x00002000, 0x00002000, 0x00002002, 0x00000100,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000008, 0x00000000, 0x00000008, 0x00000008,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0xFFFFFFFF, 0xFFFFFFFF, 0x00000000, 0xFFFFFFFF,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0x00002000, 0x00002000, 0x00002000, 0x00002000,
  0x00002000, 0x00002000, 0x00002000, 0x00002000,
  0x00002000, 0x00002000, 0x00002000, 0x00002000,
  0x00002000, 0x00002000, 0x00002000, 0x00002000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00000000, 0x00000000, 0x00000000, 0x00004000,
  0x00004100, 0x00004000, 0xFFFFFFFF, 0xFFFFFFFF,
  0x00000000, 0x00000000, 0x00000000, 0x00004000,
  0x00004100, 0x00004000, 0xFFFFFFFF, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0xFFFFFFFF, 0xFFFFFFFF, 0x00004100, 0x00004000,
  0x00004000, 0x00004000, 0x00004000, 0x00004000,
  0x00004000, 0x00004000, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0x00000000, 0x00000000, 0x00000000, 0x00000000,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0x00000000, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,
  0xFFFFFFFF, 0xFFFFFFFF
};

Naked ULONG GetOpCodeSize_ASM_CODE(PVOID Start, PVOID Tlb)
{
  __asm{
      pushad
      mov   esi, [esp+24h]
      mov   ecx, [esp+28h]
      xor   edx, edx
      xor   eax, eax
    L005:
      and   dl, 0F7h
      mov   al, [ecx]
      inc   ecx
      or     edx, [esi+eax*4h]
      test   dl, 8h
      jnz L005
      cmp   al, 0F6h
      je L035
      cmp   al, 0F7h
      je L035
      cmp   al, 0CDh
      je L040
      cmp   al, 0Fh
      je L045
    L019:
      test   dh, 80h
      jnz L052
    L021:
      test   dh, 40h
      jnz L067
    L023:
      test   dl, 20h
      jnz L057
    L025:
      test   dh, 20h
      jnz L062
    L027:
      mov   eax, ecx
      sub   eax, [esp+28h]
      and   edx, 707h
      add   al, dl
      add   al, dh
    L032:
      mov   [esp+1Ch], eax
      popad
      retn
    L035:
      or     dh, 40h
      test   byte ptr [ecx], 38h
      jnz L019
      or     dh, 80h
      jmp L019
    L040:
      or     dh, 1h
      cmp   byte ptr [ecx], 20h
      jnz L019
      or     dh, 4h
      jmp L019
    L045:
      mov   al, [ecx]
      inc   ecx
      or     edx, [esi+eax*4h+400h]
      cmp   edx, -1h
      jnz L019
      mov   eax, edx
      jmp L032
    L052:
      xor   dh, 20h
      test   al, 1h
      jnz L021
      xor   dh, 21h
      jmp L021
    L057:
      xor   dl, 2h
      test   dl, 10h
      jnz L025
      xor   dl, 6h
      jmp L025
    L062:
      xor   dh, 2h
      test   dh, 10h
      jnz L027
      xor   dh, 6h
      jmp L027
    L067:
      mov   al, [ecx]
      inc   ecx
      mov   ah, al
      and   ax, 0C007h
      cmp   ah, 0C0h
      je L023
      test   dl, 10h
      jnz L090
      cmp   al, 4h
      jnz L080
      mov   al, [ecx]
      inc   ecx
      and   al, 7h
    L080:
      cmp   ah, 40h
      je L088
      cmp   ah, 80h
      je L086
      cmp   ax, 5h
      jnz L023
    L086:
      or     dl, 4h
      jmp L023
    L088:
      or     dl, 1h
      jmp L023
    L090:
      cmp   ax, 6h
      je L096
      cmp   ah, 40h
      je L088
      cmp   ah, 80h
      jnz L023
    L096:
      or     dl, 2h
      jmp L023
      retn
    }
}

ULONG GetOpCodeSize(PVOID Start)
{
  __asm
  {
    push Start
    push offset MaskTable
    call GetOpCodeSize_ASM_CODE
    add   esp, 8     
  }
}
2007-4-15 03:52
0
cvcvxk
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
14
嘿嘿,其实就是inline hook~~晕死~
2007-4-15 08:34
0
仙剑太郎
雪    币: 214
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
15
膜拜一下
2007-4-16 13:12
0
云重
雪    币: 213
活跃值: (96)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
16
NP公司IQ太低真遗憾,一直没什么大动作
2007-4-16 20:13
0
海风月影
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
17
GetOpCodeSize实在太好用了呵呵

BTW: linsion贴的是xikug后写的汇编版
2007-4-16 20:55
0
aki
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
18
xikug后写的汇编版是从aspr里偷的
2007-4-17 00:21
0
cppdev
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
支持!!!!!!!!!!!
2007-4-18 09:21
0
GoogleDX
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
其实绝大多数时候iq不是太重要的,重要的是做事情的态度。
与bc兄共勉。
2007-4-21 12:03
0
berglob
雪    币: 237
活跃值: (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
21
2007-4-21 16:23
0
我是雷锋
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
虚拟机 winXP sp1 卡死 键盘鼠标操作不能.
2007-4-22 00:23
0
点点
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
学习,并且建议在driver中尽可能不要使用C运行时库,呵呵,在楼主面前班门弄斧,楼主不要见笑
2007-4-24 17:16
0
fdltc
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
好像没什么用,检测Hook可以加载Ntdll.dll的映像,然后直接进行比较,何必这么麻烦。
魔兽的反外挂就是这么做的
2007-5-4 16:13
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
从杀毒HOOK接管
2007-5-4 18:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//