-
-
这样能彻底绕过所有hook吗?
-
发表于: 2009-5-17 16:54
-
我一直有一个想法没说出来 今天说一下请各位看雪大大们指教!
我们 恢复inlinehook 或者ssdt的hook时候都要用windbg先查看hook ,
恩~比如
lkd> u nt!NtOpenProcess
nt!NtOpenProcess:
8057559e e95d6f4271 jmp f199c500
805755a3 e93f953978 jmp f890eae7
805755a8 e8e5e4f6ff call nt!InterlockedPushEntrySList+0x79 (804e3a92)
...............
那我们直接把整nt!NtOpenProcess函数全都用汇编写在自己的函数里
比如
_asm
{ jmp f199c500
jmp f890eae7
call nt!InterlockedPushEntrySList+0x79 (804e3a92)
...............
}
路过的call也自己实现 ,然后调用
是不是应该可以绕过各种hook那?
-------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
或者是把整个函数都copy下来 然后要调用的时候通过ssdt找到函数地址,完全copy回去再调用 这样能解决问题吗?
我们 恢复inlinehook 或者ssdt的hook时候都要用windbg先查看hook ,
恩~比如
lkd> u nt!NtOpenProcess
nt!NtOpenProcess:
8057559e e95d6f4271 jmp f199c500
805755a3 e93f953978 jmp f890eae7
805755a8 e8e5e4f6ff call nt!InterlockedPushEntrySList+0x79 (804e3a92)
...............
那我们直接把整nt!NtOpenProcess函数全都用汇编写在自己的函数里
比如
_asm
{ jmp f199c500
jmp f890eae7
call nt!InterlockedPushEntrySList+0x79 (804e3a92)
...............
}
路过的call也自己实现 ,然后调用
是不是应该可以绕过各种hook那?
-------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
或者是把整个函数都copy下来 然后要调用的时候通过ssdt找到函数地址,完全copy回去再调用 这样能解决问题吗?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
函数的内部实现 都有很大联系的
要完全自己实现一个函数 不知道得写多少个函数
|
|
|
体力不行还是用规范的东西吧。。不然弄PDB也可以,,
|
|
|
|
|
|
|
|
|
|
