首页
社区
课程
招聘
[求助]请问如何在ring3检测ssdt的inline hook?
发表于: 2008-12-20 19:25 8141

[求助]请问如何在ring3检测ssdt的inline hook?

2008-12-20 19:25
8141
为了对付一个垃圾软件, 我需要从ring3的应用程序中检测几个内核函数是不是被inline hook了。无非也就是ntopenprocess这几个, hook方式是在函数头上加入 jump。。。。这样的。

我不知道在ring3如何读取这个函数的头地址。希望大侠帮忙

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不知道在ring3怎么读就在ring0读咯
2008-12-20 19:29
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
您的意思是说用驱动在ring0读取?

这样我担心不稳定
2008-12-20 19:41
0
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
r3代码难以处理r0的内存空间,除非利用操作系统的漏洞。

如果只是检测是否被HOOK,而不是恢复。可以考虑跟一下HOOK代码的流程,比如这个软件拒绝你修改某个进程,那你就去修改一下,被拒绝了就算是HOOK了
2008-12-20 20:17
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
5
ring0 dump 用MmMapIoSpace比较简单...当然其他办法也可以
ring3的用ZwSystemDebugControl..
检测inline hook的引擎可以在ring3做就好了..这样就稳定了...
2008-12-20 20:22
0
游客
登录 | 注册 方可回帖
返回
//