[求助]关于win7 64位驱动Hook的PatchGuard-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼 64位基本没有inline hook。大部分是微软的标准接口。其他驱动的话，iat hook也不错。 2013-6-18 17:15 0
wuzhiwen 雪币： 281 活跃值： (262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 3 楼那请问我想hook nt!NtOpenprocess，根据进程名称来判断是否合法保护进程不被打开，64位下没有办法吗？！我想做这功能要用微软的什么接口？ 2013-6-18 17:21 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼 64位的PatchGuard最好不要搞，微软会让你吐血的 2013-6-18 17:25 0
wuzhiwen 雪币： 281 活跃值： (262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 5 楼 091K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3#2U0j5h3k6W2k6g2)9J5k6h3y4G2L8g2)9J5c8X3y4F1i4K6u0r3M7X3g2K6L8%4g2J5j5$3g2K6i4K6u0r3M7X3g2H3L8%4u0@1M7#2)9J5c8Y4u0H3i4K6u0V1k6r3g2X3k6h3q4@1K9h3&6Y4i4K6u0V1M7r3q4@1j5$3S2Y4N6h3q4J5k6q4)9J5k6i4m8V1k6R3`.`. 看了这文章，我这种菜鸟肯定不可能搞它的了 2013-6-18 17:29 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼其实pg还是有简单方法可以搞的 2013-6-18 17:31 0
songbeibei 雪币： 194 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 156 粉丝 0 关注私信	songbeibei 7 楼令人蛋疼的64位。。 2013-6-18 17:42 0
kalllin 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	kalllin 8 楼在Vista SP1與2008 SP1以後, 除了檔案還是走原本的mini-filter外, 你可以用Object manager的filtering API來處理大部分kernel object的權限問題, 基本上在x64上,殺軟都走這條路 ps. sp1以前這個功能有缺陷 2013-7-26 03:25 0
KantSFun 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	KantSFun 9 楼有资料么？看看~~~ 2014-4-22 12:36 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼其实bin早有了……不过你还是Too simple了 2014-4-22 18:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼 64位基本没有inline hook。大部分是微软的标准接口。其他驱动的话，iat hook也不错。 2013-6-18 17:15 0
wuzhiwen 雪币： 281 活跃值： (262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 3 楼那请问我想hook nt!NtOpenprocess，根据进程名称来判断是否合法保护进程不被打开，64位下没有办法吗？！我想做这功能要用微软的什么接口？ 2013-6-18 17:21 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼 64位的PatchGuard最好不要搞，微软会让你吐血的 2013-6-18 17:25 0
wuzhiwen 雪币： 281 活跃值： (262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 5 楼 091K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3#2U0j5h3k6W2k6g2)9J5k6h3y4G2L8g2)9J5c8X3y4F1i4K6u0r3M7X3g2K6L8%4g2J5j5$3g2K6i4K6u0r3M7X3g2H3L8%4u0@1M7#2)9J5c8Y4u0H3i4K6u0V1k6r3g2X3k6h3q4@1K9h3&6Y4i4K6u0V1M7r3q4@1j5$3S2Y4N6h3q4J5k6q4)9J5k6i4m8V1k6R3`.`. 看了这文章，我这种菜鸟肯定不可能搞它的了 2013-6-18 17:29 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼其实pg还是有简单方法可以搞的 2013-6-18 17:31 0
songbeibei 雪币： 194 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 156 粉丝 0 关注私信	songbeibei 7 楼令人蛋疼的64位。。 2013-6-18 17:42 0
kalllin 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	kalllin 8 楼在Vista SP1與2008 SP1以後, 除了檔案還是走原本的mini-filter外, 你可以用Object manager的filtering API來處理大部分kernel object的權限問題, 基本上在x64上,殺軟都走這條路 ps. sp1以前這個功能有缺陷 2013-7-26 03:25 0
KantSFun 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	KantSFun 9 楼有资料么？看看~~~ 2014-4-22 12:36 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼其实bin早有了……不过你还是Too simple了 2014-4-22 18:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复