IDA打开内核？？？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼 1、内核具体到物理硬盘是有几个核心文件。所以是可以打开文件看的。 2、ntdll.dll 导出了一系列的函数，都是最基础的，kernel32 会调用 ntdll 里面的函数。打开非常复杂的话是哪里的，贴一下地址。 3、如果是驱动的API，可以直接看WDK，或者是执行体（exective） 4、PE格式。 2014-2-27 15:36 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 3 楼内核文件不就是ntkrnlpa.exe或者其它编译模式的文件如ntoskrnl.exe么。 2014-2-27 15:52 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 4 楼 4d1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6W2L8X3E0#2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3&6C8i4K6y4r3N6i4u0D9i4K6y4p5P5f1y4&6x3@1k6K9h3Y4m8G2b7U0V1K6j5X3x3I4b7g2g2G2d9K6q4K9b7h3c8$3P5q4A6J5d9V1g2z5h3g2c8Z5f1i4q4J5e0K6g2%4g2s2S2q4L8X3^5$3j5h3N6V1k6g2W2@1c8@1N6q4M7#2N6S2N6#2m8u0f1V1c8K6P5Y4W2*7K9r3E0E0b7i4c8$3z5p5S2S2e0V1W2C8x3g2g2B7d9r3c8#2d9V1W2y4k6q4y4K9g2q4m8#2N6@1k6x3f1g2)9J5k6r3c8E0c8g2)9#2k6W2u0v1y4#2N6a6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1$3i4K6V1$3i4@1t1&6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6R3H3i4K6S2q4i4@1f1@1i4@1t1&6i4K6R3^5i4@1f1#2i4@1u0o6i4K6R3@1i4@1f1#2i4K6R3$3i4K6R3#2i4@1f1$3i4@1p5H3i4@1t1^5i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0c8Q4b7V1c8Q4z5o6k6Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0S2Q4b7e0k6Q4z5o6q4Q4c8e0S2Q4b7U0m8Q4z5o6y4Q4c8e0S2Q4b7f1k6Q4z5e0g2Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0k6Q4b7e0m8Q4b7U0S2Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4W2)9^5z5q4)9&6x3g2!0q4y4g2)9^5c8W2!0m8b7g2!0q4y4W2)9^5x3#2!0n7x3#2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4g2)9^5y4W2)9^5y4g2!0q4y4W2!0m8x3q4!0n7z5q4!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4W2)9&6x3q4)9&6b7#2!0q4y4#2!0n7y4q4!0m8x3W2!0q4y4g2)9^5y4#2!0n7c8q4!0q4y4W2)9&6y4g2!0n7x3q4!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4W2!0m8c8W2)9&6y4q4!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4W2)9&6b7#2)9^5z5g2!0q4z5g2)9^5x3W2!0m8x3#2!0q4y4q4!0n7b7g2)9&6b7W2!0q4y4g2)9&6b7#2!0n7x3q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4z5q4!0n7x3q4)9^5x3#2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4q4!0n7b7g2)9^5y4V1!0H3k6h3&6b7M7X3!0U0k6i4y4K6i4K6t1&6 多谢解答 3、如果是驱动的API，可以直接看WDK，或者是执行体如果我要查看nt!NtOpenProcess 在内核中那些地方有调用怎么个看法？ 2014-2-28 14:45 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 5 楼哦我还一直以为是ntdll.dll呢 2014-2-28 15:03 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 6 楼内核文件只是提供了对如NtOpenProcess这类函数的导出，具体调用你得看用到这些导出函数的程序。 2014-2-28 15:55 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 7 楼是这样的我想做的是在内核中所有调用nt!NtOpenProcess的地方全部改为我自己的函数现在是我不知道怎么在内核中找那些调用的位置在哪里这样就要搜索整个内核我不知道怎么搜索。。。我这样做了后无论别人怎么hook openprocess都对我没有影响了 2014-2-28 16:06 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 8 楼我觉得你思路就是不正确的。调用NtOpenProcess的函数自然是来自于驱动程序，而不是来自于内核。内核只是导出这个函数，让驱动程序能够正确调用功能。如果你想把所有的NtOpenProcess函数都改成自己的，那你只能在驱动程序里去改了。要想别人无论怎样Hook都对你没有影响，那你重载一个内核吧。 2014-2-28 16:21 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 9 楼只能如此了就重载个内核 2014-2-28 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼 1、内核具体到物理硬盘是有几个核心文件。所以是可以打开文件看的。 2、ntdll.dll 导出了一系列的函数，都是最基础的，kernel32 会调用 ntdll 里面的函数。打开非常复杂的话是哪里的，贴一下地址。 3、如果是驱动的API，可以直接看WDK，或者是执行体（exective） 4、PE格式。 2014-2-27 15:36 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 3 楼内核文件不就是ntkrnlpa.exe或者其它编译模式的文件如ntoskrnl.exe么。 2014-2-27 15:52 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 4 楼 4d1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6W2L8X3E0#2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3&6C8i4K6y4r3N6i4u0D9i4K6y4p5P5f1y4&6x3@1k6K9h3Y4m8G2b7U0V1K6j5X3x3I4b7g2g2G2d9K6q4K9b7h3c8$3P5q4A6J5d9V1g2z5h3g2c8Z5f1i4q4J5e0K6g2%4g2s2S2q4L8X3^5$3j5h3N6V1k6g2W2@1c8@1N6q4M7#2N6S2N6#2m8u0f1V1c8K6P5Y4W2*7K9r3E0E0b7i4c8$3z5p5S2S2e0V1W2C8x3g2g2B7d9r3c8#2d9V1W2y4k6q4y4K9g2q4m8#2N6@1k6x3f1g2)9J5k6r3c8E0c8g2)9#2k6W2u0v1y4#2N6a6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1$3i4K6V1$3i4@1t1&6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6R3H3i4K6S2q4i4@1f1@1i4@1t1&6i4K6R3^5i4@1f1#2i4@1u0o6i4K6R3@1i4@1f1#2i4K6R3$3i4K6R3#2i4@1f1$3i4@1p5H3i4@1t1^5i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0c8Q4b7V1c8Q4z5o6k6Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0S2Q4b7e0k6Q4z5o6q4Q4c8e0S2Q4b7U0m8Q4z5o6y4Q4c8e0S2Q4b7f1k6Q4z5e0g2Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0k6Q4b7e0m8Q4b7U0S2Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4W2)9^5z5q4)9&6x3g2!0q4y4g2)9^5c8W2!0m8b7g2!0q4y4W2)9^5x3#2!0n7x3#2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4g2)9^5y4W2)9^5y4g2!0q4y4W2!0m8x3q4!0n7z5q4!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4W2)9&6x3q4)9&6b7#2!0q4y4#2!0n7y4q4!0m8x3W2!0q4y4g2)9^5y4#2!0n7c8q4!0q4y4W2)9&6y4g2!0n7x3q4!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4W2!0m8c8W2)9&6y4q4!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4W2)9&6b7#2)9^5z5g2!0q4z5g2)9^5x3W2!0m8x3#2!0q4y4q4!0n7b7g2)9&6b7W2!0q4y4g2)9&6b7#2!0n7x3q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4z5q4!0n7x3q4)9^5x3#2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4q4!0n7b7g2)9^5y4V1!0H3k6h3&6b7M7X3!0U0k6i4y4K6i4K6t1&6 多谢解答 3、如果是驱动的API，可以直接看WDK，或者是执行体如果我要查看nt!NtOpenProcess 在内核中那些地方有调用怎么个看法？ 2014-2-28 14:45 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 5 楼哦我还一直以为是ntdll.dll呢 2014-2-28 15:03 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 6 楼内核文件只是提供了对如NtOpenProcess这类函数的导出，具体调用你得看用到这些导出函数的程序。 2014-2-28 15:55 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 7 楼是这样的我想做的是在内核中所有调用nt!NtOpenProcess的地方全部改为我自己的函数现在是我不知道怎么在内核中找那些调用的位置在哪里这样就要搜索整个内核我不知道怎么搜索。。。我这样做了后无论别人怎么hook openprocess都对我没有影响了 2014-2-28 16:06 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 8 楼我觉得你思路就是不正确的。调用NtOpenProcess的函数自然是来自于驱动程序，而不是来自于内核。内核只是导出这个函数，让驱动程序能够正确调用功能。如果你想把所有的NtOpenProcess函数都改成自己的，那你只能在驱动程序里去改了。要想别人无论怎样Hook都对你没有影响，那你重载一个内核吧。 2014-2-28 16:21 0
点这里雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	点这里 9 楼只能如此了就重载个内核 2014-2-28 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复