[讨论]厉害了我的某数字-软件逆向-看雪-安全社区|安全招聘|kanxue.com

hzqst

2016-10-10 21:02

5734

如图所示。环境xp sp3，安装了某数字、百度管家、企鹅管家、火绒。
不过看驱动名字qutmdrv.sys似乎是某数字家的呀

某数字到底在搞什么，我取个PsSetLoadImageNotify也不让我取原版的啊？不知道官人看到了能不能解释一下

ps:XT看了一下是EAT hook 这就比较尴尬了。这是逼我重载内核的节奏？

pss:猜测大概是不让别人卸载他的回调吧

psss:已经重载内核了，实测可以获取到老内核的PsSetLoadImageNotifyRoutine，可以删掉360回调，大功告成啦！！！

收藏・1

免费・0

支持

最新回复 (3)
killbr 雪币： 16645 活跃值： (1950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1712 粉丝 5 关注私信	killbr 2 楼好可爱啊，全和了。 2016-10-10 22:12 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 3 楼乱J改，WIN10他就GG了，造成系统不稳定很多都是这种垃杀毒 2016-10-11 11:33 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 4 楼兄弟你out了这个东西去年就改了 2016-10-12 16:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
killbr 雪币： 16645 活跃值： (1950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1712 粉丝 5 关注私信	killbr 2 楼好可爱啊，全和了。 2016-10-10 22:12 0
iceway 雪币： 19 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 3 楼乱J改，WIN10他就GG了，造成系统不稳定很多都是这种垃杀毒 2016-10-11 11:33 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 4 楼兄弟你out了这个东西去年就改了 2016-10-12 16:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复