-
-
[求助]ssdt不能覆盖 如果过监视
-
发表于:
2008-12-18 23:17
5114
-
最近看np监视原理的几篇文章 里面介绍 hook ssdt 然后调用我们的函数时候 实现原函数 头几条指令 然后跳到 函数后 可以过 NP的 头5个字节检查 因为他inline hook了 函数头 5个字节
不过 最新 np 也hook了 ssdt 而且 恢复 ssdt直接重起 我想 怎么hook才能 过呢
他的inlinehook 内核函数 又hook ssdt 如果跳过呢 前提是 他不让修改他驱动代码 也不让覆盖 ssdt 表里的 他的地址 修改直接蓝 或者重起
不知道 如何hook 可以不执行 他的hook代码(他的代码不让改 ssdt不让改 inline头5个字节不让改)
牛人也提示 尽量不要修改np的 hook 修改的下场 就是重起
我想可不可有 ring3的 堕落天才有提到过 另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测) 但是最终还是调用 ssdt 结果 ssdt被他hook了 不让恢复 怎么过呢?
不知道 大牛们 有什么方法 饶过他的 hook 让我们的程序直接调用 真实的 内核函数呢?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)