-
ntfs.sys 中的IRP_MJ_CREATE被hook了,比较变态:1. 用Gmer扫描能看到ntfs.sys的IRP_MJ_CREATE被hook了,为什么直接在windbg中或者用XueTr.exe中就看不到?2. 直接在windbg中去掉这个hook也不能起效?3变态的...全文
◆
◆
-
wowocock:XUETR 等ARK工具需要打开文件系统驱动文件,然后进行比较,但如果直接在CREATE里禁止打开,所以就无从比较,也就无法显示了。扫描内存可以检测被HOOK了,但因为无法获得原始文件,也就不好进行恢复,除非你搜索HOOK代码,找到原始地址。(2013-09-10 18:07)
-
wanghui219:用户被禁言,该主题自动屏蔽!(2010-08-15 21:07)
-
yanggao178:这个太难了(2010-05-27 16:04)
