[原创]分析了一下360安全卫士的HOOK-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (35) ◀ 1 2
shykelly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	shykelly 26 楼看这个好像看天书啊 2009-10-14 19:16 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 27 楼晕看来刺的知名度不高 2009-10-14 22:34 0
孙臣雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	孙臣 28 楼感谢教主 2009-10-17 18:20 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 29 楼膜拜一下教主，学习了 2010-1-14 10:09 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 30 楼感谢楼主分享研究成果。 2010-1-14 10:55 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 31 楼 KiFastCallEntry的挂钩 360安全卫士并没有使用通常的方式——直接修改SSDT和SSDTShadow进行挂钩。由于两个表中的函数最终是由系统未导出的函数KiFastCallEntry调用的，所以360在适当的位置挂载了KiFastCallEntry函数，达到了过滤的目的。大多数ARK软件只检测了两个表是否被更改，所以不能检测出360的HOOK。上面介绍的MyHookMgr结构之所以占据近6K的连续内存空间，是因为KiFastCallEntry是一个频繁被系统调用的函数，所以钩子的效率十分重要，使用连续的空间可以节省出大量寻址时间，是一种空间换时间的做法。 2010-1-15 03:07 0
tmdwoaini 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	tmdwoaini 33 楼哈哈学习了膜拜 2010-2-28 21:27 0
manbug 雪币： 220 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 188 粉丝 0 关注私信	manbug 34 楼楼主真厉害啊！！！！！！ 2010-2-28 21:37 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 35 楼最近遭遇了小黑客，看看自己掌握的知识，太2了！！唉 2010-8-25 10:59 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 36 楼 360 的这办法非常不错 2010-8-26 18:39 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 37 楼 360真强大，把我机器上的原来黑鹰的视频都定义成了病毒，无语!!! 2010-8-29 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (35) ◀ 1 2
shykelly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	shykelly 26 楼看这个好像看天书啊 2009-10-14 19:16 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 27 楼晕看来刺的知名度不高 2009-10-14 22:34 0
孙臣雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	孙臣 28 楼感谢教主 2009-10-17 18:20 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 29 楼膜拜一下教主，学习了 2010-1-14 10:09 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 30 楼感谢楼主分享研究成果。 2010-1-14 10:55 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 31 楼 KiFastCallEntry的挂钩 360安全卫士并没有使用通常的方式——直接修改SSDT和SSDTShadow进行挂钩。由于两个表中的函数最终是由系统未导出的函数KiFastCallEntry调用的，所以360在适当的位置挂载了KiFastCallEntry函数，达到了过滤的目的。大多数ARK软件只检测了两个表是否被更改，所以不能检测出360的HOOK。上面介绍的MyHookMgr结构之所以占据近6K的连续内存空间，是因为KiFastCallEntry是一个频繁被系统调用的函数，所以钩子的效率十分重要，使用连续的空间可以节省出大量寻址时间，是一种空间换时间的做法。 2010-1-15 03:07 0
tmdwoaini 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	tmdwoaini 33 楼哈哈学习了膜拜 2010-2-28 21:27 0
manbug 雪币： 220 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 188 粉丝 0 关注私信	manbug 34 楼楼主真厉害啊！！！！！！ 2010-2-28 21:37 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 35 楼最近遭遇了小黑客，看看自己掌握的知识，太2了！！唉 2010-8-25 10:59 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 36 楼 360 的这办法非常不错 2010-8-26 18:39 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 37 楼 360真强大，把我机器上的原来黑鹰的视频都定义成了病毒，无语!!! 2010-8-29 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复