[求助]如何控制内核线程监视与暂停-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]如何控制内核线程监视与暂停

发表于: 2009-2-21 11:01 6279

[求助]如何控制内核线程监视与暂停

likecrack

2009-2-21 11:01

6279

最近在研究TesSafe.sys。自己写了驱动，先备份好被hook的函数。然后还原。

还原完后。不管做什么。电脑就得启了。原来是。TesSafe.sys还有一个内核监视线程。

问大各位。怎么才能暂停或者停止这个内核级的线程。不让他生启。

修复的方法

NtOpenProcess与NtOpenThread调用ObOpenObjectByPointer被hook
找到hook的地址。直接跳到 ObOpenObjectByPointer

KiAttachProcess函数头被改为mov eax,dword  jmp eax
取得这个dword, 写入原函数的9个字节并改为跳到  KiAttachProcess+9

NtReadVirtualMemory与NtWriteVirtualMemory 函数头被改为mov eax,dword  jmp eax
取得这个dword,写入原函数的7个字节并改为跳到 NtReadVirtualMemory+7 与NtWriteVirtualMemory +7

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#系统底层

收藏・2

免费・0

支持

最新回复 (2)
zwtcyy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zwtcyy 2 楼 Hook完了后取得了句柄，把自己想做的事做完后要恢复他的Hook,屁股开干净后再看他重起不 2009-2-23 15:21 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 3 楼楼上正解。。。。。 2009-2-23 18:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

likecrack

发帖

120

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
zwtcyy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zwtcyy 2 楼 Hook完了后取得了句柄，把自己想做的事做完后要恢复他的Hook,屁股开干净后再看他重起不 2009-2-23 15:21 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 3 楼楼上正解。。。。。 2009-2-23 18:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]如何控制内核线程 监视与暂停

[求助]如何控制内核线程监视与暂停