-
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =...全文
◆
◆
-
kernel_kernel:引用第18楼ljh1021于2007-09-02 13:59发表的 : 我改了不少??? 听这句话,难道kernel_kernel是pjf的马甲?! "我把入口改了不少",是我做的hook试验,把函数入口改了十几个字节,结果是icesw...(2007-09-02 16:25)
-
ljh1021:引用第9楼kernel_kernel于2007-07-31 23:21发表的 : 有点信口开河的意思,我试过了,恢复可不只几字节,我改了不少。 我改了不少??? 听这句话,难道kernel_kernel是pjf的马甲?!(2007-09-02 13:59)
-
ljh1021:IofCom???是IofCompleteRequest,KeRaise???是KeRaiseIrqlToDpcLevel吗? 我不明白Azy大虾为什么要这样HOOK,能详细说说原因吗?难道还跟中断级别有关? 我是菜鸟,不知道是int 0e大法和drx大法是什么,能解释一下吗? ...(2007-09-02 13:51)
-
killvxk:引用第12楼kernel_kernel于2007-08-01 07:54发表的 : 这个...可是别人也可以scan后整个恢复。做流氓软件一般没问题,想做点隐蔽性好的东西 这一套hook很难有作为了。还是老v的流氓固化听上去不错. 固化其实就是文件感染换了新名字而已~(2007-08-07 20:32)
-
vanmin:引用第0楼z.b.Azy于2007-07-27 19:21发表的 再谈绕过IceSword 1.22文件检测 : 看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~ 如果还想再恶心...(2007-08-03 22:16)
-
killvxk:int 0e大法依然有效~ 而且非常有效~(2007-08-01 17:54)
试过?赶明儿试试-
kernel_kernel:引用第10楼vardyh于2007-07-31 23:26发表的 : 变态的hook可以把整个函数抹掉,还是那句话,看你如何hook了,呵呵 这个...可是别人也可以scan后整个恢复。做流氓软件一般没问题,想做点隐蔽性好的东西 这一套hook很难有作为了。还是老v的流氓固化...(2007-08-01 07:54)
-
vardyh:变态的hook可以把整个函数抹掉,还是那句话,看你如何hook了,呵呵(2007-07-31 23:26)
