-
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =...全文
◆
◆
-
kernel_kernel:引用第8楼vardyh于2007-07-31 22:26发表的 : 那要看你是如何 hook 的, 像 icesword 之流的东西,上来就不管不顾的把钩子乱恢复一通,(起码早期的版本是这样,新版的我没兴趣分析了),这样的恢复是非常不安全的, 且不说有些安全软件的钩子是不是...(2007-07-31 23:21)
-
vardyh:引用第7楼z.b.Azy于2007-07-31 13:09发表的 : 此言极是。。。如果继续下去路只会越来越窄。。。。 那要看你是如何 hook 的, 像 icesword 之流的东西,上来就不管不顾的把钩子乱恢复一通,(起码早期的版本是这样,新版的我没兴趣分析了),这样的...(2007-07-31 22:26)
-
z.b.Azy:引用第6楼wowocock于2007-07-30 23:13发表的 : HOOK是毒瘤。。。。。。 此言极是。。。如果继续下去路只会越来越窄。。。。(2007-07-31 13:09)
-
wowocock:HOOK是毒瘤。。。。。。(2007-07-30 23:13)
稳定性不能保证。。。。。。-
z.b.Azy:引用第1楼violin于2007-07-27 19:34发表的 : 一般不需要知道谁hook,恢复hook就行了。 这类hook感觉意义不大,它就像一个"我是流氓"的标签一样,有谁搞点有创意的~~~ 只是一种可行的方法, 期待大牛们的创意~~~(2007-07-27 19:48)
-
violin:引用第0楼z.b.Azy于2007-07-27 19:21发表的 再谈绕过IceSword 1.22文件检测 : 看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~ 如果还想再恶心...(2007-07-27 19:34)
