能力值:
( LV12,RANK:300 )
|
-
-
2 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
这个我看了,说的是SSDT HOOK 但是HOOK没问题,现在我的问题是恢复时候的具体操作,怎么找原来函数,怎么判断 函数是否是被挂了钩的
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
怎么找原来函数?
--自己读取内核文件
怎么判断函数是否是被挂了钩的?
--看SSDT中函数地址是否在内核(如 ntoskrnl.exe)的地址空间内
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
最直接的思路
1)获得内核基址
2)读取内核文件,并按照实际基址进行加载的处理(主要是重定位,最好也处理下导入)
3)通过自己"加载"的镜像得到SSDT 和 SHADOW SSDT位置,与实际内核镜像 memcmp就行了
这两个表内核是不需要动态修改,所以我们处理的结果应该与实际内存内容一样
|
能力值:
( LV12,RANK:470 )
|
-
-
6 楼
还是老问题
内核基础知识 lz需要认真学习1下基础
其实很多东西都是基础问题啊
认真点学习驱动吧 hook和unhook就是一步之差而已
关键是思路要正确,,楼上大牛说的很清楚了
正确的思路比任何代码都重要
|
|
|