首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
0
0
[求助]请问如何在ring3检测ssdt的inline hook?
发表于: 2008-12-20 19:25
8141
[求助]请问如何在ring3检测ssdt的inline hook?
smallpig
2008-12-20 19:25
8141
为了对付一个垃圾软件, 我需要从ring3的应用程序中检测几个内核函数是不是被inline hook了。无非也就是ntopenprocess这几个, hook方式是在函数头上加入 jump。。。。这样的。
我不知道在ring3如何读取这个函数的头地址。希望大侠帮忙
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
#系统底层
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
4
)
DazzleJ
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
55
粉丝
0
关注
私信
DazzleJ
2
楼
不知道在ring3怎么读就在ring0读咯
2008-12-20 19:29
0
smallpig
雪 币:
204
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
44
粉丝
0
关注
私信
smallpig
3
楼
您的意思是说用驱动在ring0读取?
这样我担心不稳定
2008-12-20 19:41
0
雁南飞
雪 币:
101
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
34
粉丝
0
关注
私信
雁南飞
4
楼
r3代码难以处理r0的内存空间,除非利用操作系统的漏洞。
如果只是检测是否被HOOK,而不是恢复。可以考虑跟一下HOOK代码的流程,比如这个软件拒绝你修改某个进程,那你就去修改一下,被拒绝了就算是HOOK了
2008-12-20 20:17
0
Sysnap
雪 币:
581
活跃值:
(149)
能力值:
( LV12,RANK:600 )
在线值:
发帖
32
回帖
389
粉丝
10
关注
私信
Sysnap
14
5
楼
ring0 dump 用MmMapIoSpace比较简单...当然其他办法也可以
ring3的用ZwSystemDebugControl..
检测inline hook的引擎可以在ring3做就好了..这样就稳定了...
2008-12-20 20:22
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
smallpig
13
发帖
44
回帖
10
RANK
关注
私信
他的文章
[求助]如何dump内存中的.sys模块?
5987
[讨论]EDI也能做this指针?
4073
[求助]Themida/WinLicense V1.8.X-V2.X -> Oreans Technologies
3166
[求助]关于Themida/WinLicense V1.8.2.0 + -> Oreans Technologies *的一个问题
2684
[讨论]游戏加速软件讨论
7351
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部