wingsoft的个人空间

访问量0

http://bbs3.driverdevelop.com/index.php?m=space&uid=146222

如何知道被hook的函数在哪个sys内？

rt，如何知道被hook的函数在哪个sys内？请各位指点~

回复(4) 2007-04-15 08:59 来自版块 - 内核编程

◆ ◆

: flying2008：引用第1楼wowocock于2007-04-16 09:07发表的“”: 分析指令取得目标地址，然后对比驱动范围，注意分析指令一定智能化，比如PUSH XXXXXXXX,RET MOV EAX,XXXXXXX,JMP EAX，等非常规方法都要能检测出来，最好用专门的反汇编引擎进行...(2007-04-16 20:34)

回复

: MuseHero：枚举内核模块，得到每个SYS的基址与大小，再看得到的地址是在哪个SYS的地址空间内。 (2007-04-16 20:12)

回复

: wingsoft：现已取得了目标地址，如何对比驱动范围呢，怎样知道这个地址是属于哪个区动的，请大侠指点指点~ 不胜感激~ (2007-04-16 17:57)

回复

: wowocock：分析指令取得目标地址，然后对比驱动范围，注意分析指令一定智能化，比如PUSH XXXXXXXX,RET MOV EAX,XXXXXXX,JMP EAX，等非常规方法都要能检测出来，最好用专门的反汇编引擎进行智能化处理==。。。。。。。。(2007-04-16 09:07)

回复

wingsoft

加关注写私信