[求助]不是nt！开头的函数被hook怎么恢复？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼运气好可以再次inline hook 过之 2009-5-23 21:24 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 3 楼 nt! 开头表示的是ntdll导出的函数. 都是写stub函数. 到ntoskrnl中做文章才是王道 2009-5-23 21:50 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼楼上的不知所谓 nt!开头的是ntoskrnl开头的函数，被INLINE HOOK的话直接从MS网站下对应符号，就可以定位地址，恢复HOOK了 2009-5-23 22:12 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 5 楼感谢MJ纠正我一个认识上的错误. thank u. 2009-5-23 22:31 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 6 楼顺便对LZ说声抱歉, 下次我没查清就不乱说话了, 哈哈~~ 2009-5-23 22:33 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼自己把内核文件加载一份，做好重定位，对比代码就可以了~ 2009-5-23 22:56 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 8 楼看情况吧，反正总能找到特征的 2009-5-23 22:59 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼 HOOK回来 2009-5-24 00:16 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 10 楼嗯··还是不太明白啊！能不能具体的讲~~~~~~~~~~~~ 2009-5-24 20:10 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 11 楼希望见到用代码说话的人 2009-5-24 20:53 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 12 楼哈哈被MJ批评了,不过你也得说呀,关于内核一说,我这样是错了,但是对R3来说也没错呀. R3的ntdll里确实导出了部分的Nt开头的函数呀!!哈哈.... 2009-5-24 23:26 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 13 楼错即是错, 无须多言. 2009-5-25 07:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼运气好可以再次inline hook 过之 2009-5-23 21:24 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 3 楼 nt! 开头表示的是ntdll导出的函数. 都是写stub函数. 到ntoskrnl中做文章才是王道 2009-5-23 21:50 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼楼上的不知所谓 nt!开头的是ntoskrnl开头的函数，被INLINE HOOK的话直接从MS网站下对应符号，就可以定位地址，恢复HOOK了 2009-5-23 22:12 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 5 楼感谢MJ纠正我一个认识上的错误. thank u. 2009-5-23 22:31 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 6 楼顺便对LZ说声抱歉, 下次我没查清就不乱说话了, 哈哈~~ 2009-5-23 22:33 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼自己把内核文件加载一份，做好重定位，对比代码就可以了~ 2009-5-23 22:56 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 8 楼看情况吧，反正总能找到特征的 2009-5-23 22:59 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼 HOOK回来 2009-5-24 00:16 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 10 楼嗯··还是不太明白啊！能不能具体的讲~~~~~~~~~~~~ 2009-5-24 20:10 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 11 楼希望见到用代码说话的人 2009-5-24 20:53 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 12 楼哈哈被MJ批评了,不过你也得说呀,关于内核一说,我这样是错了,但是对R3来说也没错呀. R3的ntdll里确实导出了部分的Nt开头的函数呀!!哈哈.... 2009-5-24 23:26 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 13 楼错即是错, 无须多言. 2009-5-25 07:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复