[求助]请问如何在ring3检测ssdt的inline hook？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2 楼不知道在ring3怎么读就在ring0读咯 2008-12-20 19:29 0
smallpig 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 0 关注私信	smallpig 3 楼您的意思是说用驱动在ring0读取？这样我担心不稳定 2008-12-20 19:41 0
雁南飞雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	雁南飞 4 楼 r3代码难以处理r0的内存空间，除非利用操作系统的漏洞。如果只是检测是否被HOOK，而不是恢复。可以考虑跟一下HOOK代码的流程，比如这个软件拒绝你修改某个进程，那你就去修改一下，被拒绝了就算是HOOK了 2008-12-20 20:17 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 5 楼 ring0 dump 用MmMapIoSpace比较简单...当然其他办法也可以 ring3的用ZwSystemDebugControl.. 检测inline hook的引擎可以在ring3做就好了..这样就稳定了... 2008-12-20 20:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2 楼不知道在ring3怎么读就在ring0读咯 2008-12-20 19:29 0
smallpig 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 0 关注私信	smallpig 3 楼您的意思是说用驱动在ring0读取？这样我担心不稳定 2008-12-20 19:41 0
雁南飞雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	雁南飞 4 楼 r3代码难以处理r0的内存空间，除非利用操作系统的漏洞。如果只是检测是否被HOOK，而不是恢复。可以考虑跟一下HOOK代码的流程，比如这个软件拒绝你修改某个进程，那你就去修改一下，被拒绝了就算是HOOK了 2008-12-20 20:17 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 5 楼 ring0 dump 用MmMapIoSpace比较简单...当然其他办法也可以 ring3的用ZwSystemDebugControl.. 检测inline hook的引擎可以在ring3做就好了..这样就稳定了... 2008-12-20 20:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复