首页
社区
课程
招聘
[求助]ssdt不能覆盖 如果过监视
发表于: 2008-12-18 23:17 5085

[求助]ssdt不能覆盖 如果过监视

2008-12-18 23:17
5085
最近看np监视原理的几篇文章 里面介绍 hook ssdt 然后调用我们的函数时候 实现原函数 头几条指令 然后跳到 函数后  可以过 NP的 头5个字节检查 因为他inline hook了 函数头 5个字节

不过 最新 np 也hook了 ssdt 而且 恢复 ssdt直接重起 我想 怎么hook才能 过呢

他的inlinehook 内核函数 又hook ssdt 如果跳过呢 前提是 他不让修改他驱动代码 也不让覆盖 ssdt 表里的 他的地址 修改直接蓝 或者重起

不知道 如何hook 可以不执行 他的hook代码(他的代码不让改 ssdt不让改 inline头5个字节不让改)

牛人也提示 尽量不要修改np的 hook  修改的下场 就是重起

我想可不可有 ring3的 堕落天才有提到过 另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测) 但是最终还是调用 ssdt 结果 ssdt被他hook了 不让恢复 怎么过呢?

不知道 大牛们 有什么方法 饶过他的 hook 让我们的程序直接调用 真实的 内核函数呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 22
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
对于这种个性文章,谁也别抢我的,我要发言
全是hook来hook去的,糊里糊涂的,数数12个,就是因为你的文章让我乐死,我来给你贴个新思路


画波浪线的的是ntoskrnl.exe

记得别做外挂,我就是表面上说说,你做也没事,文化部已经瘫痪了,靠自觉行不通,也不叫激将法,应该叫激怒法

你可能会觉得我说话很古怪,我也晓得,我一口气,把话都说完了,不必在意,我就这样。
2008-12-19 00:23
0
雪    币: 22
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这道美丽的彩虹桥,不错吧
2008-12-19 00:33
0
雪    币: 22
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
还有口气没出,蓝屏可以。但是你在准备蓝屏前通知我一声啊,我要安全关机,记得高三的信息技术课上,老师非常侧重了一个话题,就是别非法关机,我还牢记着。

你加油做挂赚钱,有钱了请比尔盖茨搓顿饭,叫他把NP赶出电脑,谁是东家,谁做主,楼主,我坚信你可以做的很漂亮
2008-12-19 00:44
0
雪    币: 22
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
快跑题了,不说了,这毕竟是看雪大哥的坛子,我少说2句
2008-12-19 00:45
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
6


膜拜高三的信息技术课。
我就不知道我上过课,虽然名义上高一还是有。

ps.你把VM恢复了,直接改流程得咯,或者找人拿个NP SDK,最后想做什么做什么。
2008-12-19 01:03
0
游客
登录 | 注册 方可回帖
返回
//