[求助]我的文件系统铁定被挂钩了，请问如何才能找到黑客是如何在系统启动的时候给我挂钩的呢？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]我的文件系统铁定被挂钩了，请问如何才能找到黑客是如何在系统启动的时候给我挂钩的呢？

发表于: 2016-2-14 21:35 8385

[求助]我的文件系统铁定被挂钩了，请问如何才能找到黑客是如何在系统启动的时候给我挂钩的呢？

雪六四

2016-2-14 21:35

8385

这是我用PCHunter导出的FSD表：

[PC Hunter Standard][FSD]: 48
序号函数名称当前函数地址 Hook 原始函数地址当前函数地址所在模块
28 (Ntfs)IRP_MJ_CREATE 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014E75E0 未知模块
29 (Ntfs)IRP_MJ_CREATE_NAMED_PIPE 0xFFFFF80002E6E140 - 0xFFFFF80002E6E140 C:\Windows\system32\ntoskrnl.exe
30 (Ntfs)IRP_MJ_CLOSE 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014E3140 未知模块
31 (Ntfs)IRP_MJ_READ 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF8800144C2C0 未知模块
32 (Ntfs)IRP_MJ_WRITE 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF88001456CB0 未知模块
33 (Ntfs)IRP_MJ_QUERY_INFORMATION 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCAE0 未知模块
34 (Ntfs)IRP_MJ_SET_INFORMATION 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF8800144CE68 未知模块
35 (Ntfs)IRP_MJ_QUERY_EA 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCAE0 未知模块
36 (Ntfs)IRP_MJ_SET_EA 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCAE0 未知模块
37 (Ntfs)IRP_MJ_FLUSH_BUFFERS 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014C3538 未知模块
38 (Ntfs)IRP_MJ_QUERY_VOLUME_INFORMATION 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCE74 未知模块
39 (Ntfs)IRP_MJ_SET_VOLUME_INFORMATION 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCE74 未知模块
40 (Ntfs)IRP_MJ_DIRECTORY_CONTROL 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014D86B0 未知模块
41 (Ntfs)IRP_MJ_FILE_SYSTEM_CONTROL 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014FA200 未知模块
42 (Ntfs)IRP_MJ_DEVICE_CONTROL 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014C2010 未知模块
43 (Ntfs)IRP_MJ_INTERNAL_DEVICE_CONTROL 0xFFFFF80002E6E140 - 0xFFFFF80002E6E140 C:\Windows\system32\ntoskrnl.exe
44 (Ntfs)IRP_MJ_SHUTDOWN 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880015BBD50 未知模块
45 (Ntfs)IRP_MJ_LOCK_CONTROL 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF8800147FB80 未知模块
46 (Ntfs)IRP_MJ_CLEANUP 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014EC6B0 未知模块
47 (Ntfs)IRP_MJ_CREATE_MAILSLOT 0xFFFFF80002E6E140 - 0xFFFFF80002E6E140 C:\Windows\system32\ntoskrnl.exe
48 (Ntfs)IRP_MJ_QUERY_SECURITY 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCE74 未知模块
49 (Ntfs)IRP_MJ_SET_SECURITY 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCE74 未知模块
50 (Ntfs)IRP_MJ_POWER 0xFFFFF80002E6E140 - 0xFFFFF80002E6E140 C:\Windows\system32\ntoskrnl.exe
51 (Ntfs)IRP_MJ_SYSTEM_CONTROL 0xFFFFF80002E6E140 - 0xFFFFF80002E6E140 C:\Windows\system32\ntoskrnl.exe
52 (Ntfs)IRP_MJ_DEVICE_CHANGE 0xFFFFF80002E6E140 - 0xFFFFF80002E6E140 C:\Windows\system32\ntoskrnl.exe
53 (Ntfs)IRP_MJ_QUERY_QUOTA 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCAE0 未知模块
54 (Ntfs)IRP_MJ_SET_QUOTA 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880014CCAE0 未知模块
55 (Ntfs)IRP_MJ_PNP_POWER 0xFFFFFA8006CD52C0 fsd hook 0xFFFFF880015115FC 未知模块
27[FastIo] (Ntfs)FastIoCheckIfPossible 0xFFFFF8800156AFB0 - 0xFFFFF8800156AFB0 C:\Windows\System32\Drivers\Ntfs.sys
28[FastIo] (Ntfs)FastIoRead 0xFFFFF880014D8C30 - 0xFFFFF880014D8C30 C:\Windows\System32\Drivers\Ntfs.sys
29[FastIo] (Ntfs)FastIoWrite 0xFFFFF880014DB870 - 0xFFFFF880014DB870 C:\Windows\System32\Drivers\Ntfs.sys
30[FastIo] (Ntfs)FastIoQueryBasicInfo 0xFFFFF880014CD288 - 0xFFFFF880014CD288 C:\Windows\System32\Drivers\Ntfs.sys
31[FastIo] (Ntfs)FastIoQueryStandardInfo 0xFFFFF880014CCB10 - 0xFFFFF880014CCB10 C:\Windows\System32\Drivers\Ntfs.sys
32[FastIo] (Ntfs)FastIoLock 0xFFFFF880014BB3A8 - 0xFFFFF880014BB3A8 C:\Windows\System32\Drivers\Ntfs.sys
33[FastIo] (Ntfs)FastIoUnlockSingle 0xFFFFF880014BB180 - 0xFFFFF880014BB180 C:\Windows\System32\Drivers\Ntfs.sys
34[FastIo] (Ntfs)FastIoUnlockAll 0xFFFFF8800156B2D0 - 0xFFFFF8800156B2D0 C:\Windows\System32\Drivers\Ntfs.sys
35[FastIo] (Ntfs)FastIoUnlockAllByKey 0xFFFFF8800156B070 - 0xFFFFF8800156B070 C:\Windows\System32\Drivers\Ntfs.sys
38[FastIo] (Ntfs)ReleaseFileForNtCreateSection 0xFFFFF8800144CDF8 - 0xFFFFF8800144CDF8 C:\Windows\System32\Drivers\Ntfs.sys
40[FastIo] (Ntfs)FastIoQueryNetworkOpenInfo 0xFFFFF880014C0600 - 0xFFFFF880014C0600 C:\Windows\System32\Drivers\Ntfs.sys
41[FastIo] (Ntfs)AcquireForModWrite 0xFFFFF88001459AE4 - 0xFFFFF88001459AE4 C:\Windows\System32\Drivers\Ntfs.sys
42[FastIo] (Ntfs)MdlRead 0xFFFFF880014BC460 - 0xFFFFF880014BC460 C:\Windows\System32\Drivers\Ntfs.sys
43[FastIo] (Ntfs)MdlReadComplete 0xFFFFF80002E5B1E0 - 0xFFFFF80002E5B1E0 C:\Windows\system32\ntoskrnl.exe
44[FastIo] (Ntfs)PrepareMdlWrite 0xFFFFF880014BC640 - 0xFFFFF880014BC640 C:\Windows\System32\Drivers\Ntfs.sys
45[FastIo] (Ntfs)MdlWriteComplete 0xFFFFF8000313D270 - 0xFFFFF8000313D270 C:\Windows\system32\ntoskrnl.exe
50[FastIo] (Ntfs)FastIoQueryOpen 0xFFFFFA8006CD5570 fsd hook 0xFFFFF880014C6320 未知模块
51[FastIo] (Ntfs)ReleaseForModWrite 0xFFFFF88001459B94 - 0xFFFFF88001459B94 C:\Windows\System32\Drivers\Ntfs.sys
52[FastIo] (Ntfs)AcquireForCcFlush 0xFFFFF8800145AE8C - 0xFFFFF8800145AE8C C:\Windows\System32\Drivers\Ntfs.sys
53[FastIo] (Ntfs)ReleaseForCcFlush 0xFFFFF8800145AEE0 - 0xFFFFF8800145AEE0 C:\Windows\System32\Drivers\Ntfs.sys

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (7)
叁毛雪币： 5 活跃值： (524) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 215 粉丝 2 关注私信	叁毛 1 2 楼有被挂钩吗，没觉得被挂钩呀 2016-2-14 23:46 0
奘和雪币： 4911 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 3 楼 LZ是如何判断自己被挂钩的呢？ 2016-2-15 11:28 0
雪六四雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 171 粉丝 0 关注私信	雪六四 4 楼显示未知模块的那些不是被挂钩了吗？显示未知模块的部分在PCHunter里都是显示为红色的。 2016-2-15 13:50 0
雪六四雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 171 粉丝 0 关注私信	雪六四 5 楼我也不知道该如何判断，麻烦您教我！ 2016-2-15 14:03 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 6 楼我觉着要不你重装系统吧.... 2016-2-16 10:45 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 7 楼赶脚你这种态度不对呢 2016-4-30 03:49 0
luingl 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	luingl 8 楼我不懂，看看！！ 2016-4-30 10:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

雪六四

发帖

171

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
叁毛雪币： 5 活跃值： (524) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 215 粉丝 2 关注私信	叁毛 1 2 楼有被挂钩吗，没觉得被挂钩呀 2016-2-14 23:46 0
奘和雪币： 4911 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 3 楼 LZ是如何判断自己被挂钩的呢？ 2016-2-15 11:28 0
雪六四雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 171 粉丝 0 关注私信	雪六四 4 楼显示未知模块的那些不是被挂钩了吗？显示未知模块的部分在PCHunter里都是显示为红色的。 2016-2-15 13:50 0
雪六四雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 171 粉丝 0 关注私信	雪六四 5 楼我也不知道该如何判断，麻烦您教我！ 2016-2-15 14:03 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 6 楼我觉着要不你重装系统吧.... 2016-2-16 10:45 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 7 楼赶脚你这种态度不对呢 2016-4-30 03:49 0
luingl 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	luingl 8 楼我不懂，看看！！ 2016-4-30 10:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复