首页
社区
课程
招聘
[原创]分析了一下360安全卫士的HOOK
发表于: 2009-10-8 14:05 28399

[原创]分析了一下360安全卫士的HOOK

2009-10-8 14:05
28399
收藏
免费 7
支持
分享
最新回复 (35)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
看这个好像看天书啊
2009-10-14 19:16
0
雪    币: 237
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
晕看来刺的知名度不高
2009-10-14 22:34
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
感谢 教主
2009-10-17 18:20
0
雪    币: 492
活跃值: (53)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
29
膜拜一下教主,学习了
2010-1-14 10:09
0
雪    币: 808
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
30
感谢楼主分享研究成果。
2010-1-14 10:55
0
雪    币: 18
活跃值: (80)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
KiFastCallEntry的挂钩

         360安全卫士并没有使用通常的方式——直接修改SSDT和SSDTShadow进行挂钩。由于两个表中的函数最终是由系统未导出的函数KiFastCallEntry调用的,所以360在适当的位置挂载了KiFastCallEntry函数,达到了过滤的目的。大多数ARK软件只检测了两个表是否被更改,所以不能检测出360的HOOK。

         上面介绍的MyHookMgr结构之所以占据近6K的连续内存空间,是因为KiFastCallEntry是一个频繁被系统调用的函数,所以钩子的效率十分重要,使用连续的空间可以节省出大量寻址时间,是一种空间换时间的做法。
2010-1-15 03:07
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
  哈哈  学习了 膜拜
2010-2-28 21:27
0
雪    币: 220
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
楼主真厉害啊!!!!!!
2010-2-28 21:37
0
雪    币: 410
活跃值: (214)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
35
最近遭遇了小黑客,看看自己掌握的知识,太2了!!唉
2010-8-25 10:59
0
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
360 的这办法非常 不错
2010-8-26 18:39
0
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
37
360真强大,把我机器上的原来黑鹰的视频都定义成了病毒,无语!!!
2010-8-29 17:45
0
游客
登录 | 注册 方可回帖
返回
//