首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]rootkit hook之[四]-- IDT Hook
发表于: 2008-2-19 17:05 70052

[原创]rootkit hook之[四]-- IDT Hook

combojiang 活跃值
26
2008-2-19 17:05
70052

查看主题内容

收藏
免费 7
支持
分享
最新回复 (42)
PAC
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PAC
26
顶了再看 。
2010-3-10 16:23
0
PAC
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PAC
27
好文!不得不顶!!!

顶完发现顶过了
2010-3-12 14:04
0
defddr
雪    币: 37
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
28
看了看论坛集成的电子书和CHM
不过还是要来顶下这个帖子
例子层层递进 由浅入深
讲解的很详细 谢谢了
2010-7-12 13:14
0
woaijiaren
雪    币: 26
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
29
学习了  谢谢!!!
2010-7-14 09:31
0
yinning
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
30
代码太长太深奥。记号。慢慢看
2010-11-10 06:56
0
wjhwdm
雪    币: 253
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
31
顶一下,写得不错。
2010-11-26 09:21
0
wjhwdm
雪    币: 253
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
32
IDT HOOK我测试的情况是,在单核CPU运行正常;
双核CPU会出错!能讲一讲多核CPU的实现吗?
2010-11-26 09:27
0
CoCoLin
雪    币: 263
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
33
如果中断门选择子不为8,挂中断后跳转回原中断例程应该怎么处理,比如对CS,DS的处理。
2011-5-15 12:04
0
水上心
雪    币: 12
活跃值: (220)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
34
世界就需要你这样的人
2011-7-28 14:42
0
sahikaru
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
35
我们可以利用指令sigt读出IDTR寄存器中的信息
这句是不是应该改成sidt啊
2011-10-7 16:16
0
samdhc
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
36
想请教下,那个task gate也可以Hook吗?
这个的结构好像只有选择子,没有偏移地址
2011-10-22 19:24
0
牛入雨田
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
37
真心喜欢。
2013-9-20 20:26
0
哆啦大梦
雪    币: 48
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
38
多核在写个while(1)循环,在里面一直启线程hook
2015-1-21 10:03
1
JackJoker
雪    币: 188
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
39
学习学习
2015-1-21 10:08
0
gtslzlcd
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
40
不错啊,好贴,受益匪浅。
但是有个地方不明白,想请教一下:
IDT里面ISR的算法是:基址(基址是通过段选择器找GDT)+偏移。
楼主之所有没有加基址是因为段选择器8对应的基址是00000000,所以只算偏移就好。
在我的系统中,用楼主的第一个驱动打印ISR结果是正确的,但是问题是通过PCHUNTER找出的段选择器8的藏起不是0,那么ISR的地址就应该是: 400 + OFFSET,这点挺矛盾的,没想明白。还请楼主帮忙理解一下呢,或者说pchunter找出的gdt是有问题的。
段选择子                基址                界限
0x0008                0x00000400        0x0000FFFF
2015-6-3 16:47
0
qinnan秦
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
41
坚决收藏,注册后第一次收藏
2015-6-7 13:59
0
gtslzlcd
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
42
用dg 0 f0,查看确实选择器8对应的基址是00000000,可能真是PCHUNTER的问题,或者我没理解PCHUNTER的用法.
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
0000 00000000 00000000 <Reserved> 0 Nb By Np Nl 00000000
0008 00000000 ffffffff Code RE    0 Bg Pg P  Nl 00000c9a
2015-6-13 23:08
0
木志本柯
雪    币: 4662
活跃值: (3903)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
43
哆啦大梦 多核在写个while(1)循环,在里面一直启线程hook
呦西原来玄机在此
2018-11-30 18:38
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//