[求助]目标程序SSDT HOOK了,ntopenprocess,并且有一线程检测,请教恢复思路!-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 2 楼看它有没有hook卸载驱动的函数，如果没有的话，先卸载驱动，再恢复，我经常这样做。 2009-12-21 12:30 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼死亡游戏。。。可以根据hook地址找到驱动确认驱动地址范围遍例所有线程开始地址所属如果没动过手脚应该就可以定位到该驱动的线程了停掉后恢复试试建议在虚拟机下 ^--^ 个人认为如果是要方便其他正常应用程序在Ssdt前拿到控制权绕过去会比上面稳定些 == 2009-12-21 21:03 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 4 楼先恢复后，在用驱动墙拦截他的驱动，可以不？ 2009-12-21 22:48 0
Thomasyzh 雪币： 152 活跃值： (106) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 189 粉丝 8 关注私信	Thomasyzh 2 5 楼你可以hook 它的hook跳到正常的流程里去嘛!~~笨蛋..还是让它检测啊.它改table,你就inline它的code.直接跳正常的table 2009-12-22 09:45 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 6 楼楼上的方法很好，推荐~ 2009-12-22 16:19 0
shuimoyan 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	shuimoyan 7 楼 inline HOOK之后会自动重启，有inlinehook检测，我想请问下，怎么定位到驱动的线程，驱动里面会有多个线程吗 2009-12-22 19:20 0
exile 雪币： 2105 活跃值： (594) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 8 楼过SSDT　HOOK方法多了去了 sysentry thread ssdt entry duplicatehandle(针对openprocess) 自己实现openprocess ...... 2009-12-22 22:29 0
liudahai 雪币： 215 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	liudahai 9 楼是不是游戏哦？ 2009-12-24 08:46 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 10 楼把自己线程的SSDT换了吧。_KTHREAD->ServiceTable 2009-12-24 10:02 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 11 楼学习~~ shadow的有伐? 2009-12-24 13:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 2 楼看它有没有hook卸载驱动的函数，如果没有的话，先卸载驱动，再恢复，我经常这样做。 2009-12-21 12:30 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼死亡游戏。。。可以根据hook地址找到驱动确认驱动地址范围遍例所有线程开始地址所属如果没动过手脚应该就可以定位到该驱动的线程了停掉后恢复试试建议在虚拟机下 ^--^ 个人认为如果是要方便其他正常应用程序在Ssdt前拿到控制权绕过去会比上面稳定些 == 2009-12-21 21:03 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 4 楼先恢复后，在用驱动墙拦截他的驱动，可以不？ 2009-12-21 22:48 0
Thomasyzh 雪币： 152 活跃值： (106) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 189 粉丝 8 关注私信	Thomasyzh 2 5 楼你可以hook 它的hook跳到正常的流程里去嘛!~~笨蛋..还是让它检测啊.它改table,你就inline它的code.直接跳正常的table 2009-12-22 09:45 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 6 楼楼上的方法很好，推荐~ 2009-12-22 16:19 0
shuimoyan 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	shuimoyan 7 楼 inline HOOK之后会自动重启，有inlinehook检测，我想请问下，怎么定位到驱动的线程，驱动里面会有多个线程吗 2009-12-22 19:20 0
exile 雪币： 2105 活跃值： (594) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 8 楼过SSDT　HOOK方法多了去了 sysentry thread ssdt entry duplicatehandle(针对openprocess) 自己实现openprocess ...... 2009-12-22 22:29 0
liudahai 雪币： 215 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	liudahai 9 楼是不是游戏哦？ 2009-12-24 08:46 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 10 楼把自己线程的SSDT换了吧。_KTHREAD->ServiceTable 2009-12-24 10:02 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 11 楼学习~~ shadow的有伐? 2009-12-24 13:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复