版块
论坛
喜欢
话题
应用
搜索
登录
注册
tkyouyou的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=227172
变态的ntfs.sys 中的IRP_MJ_CREATE
ntfs.sys 中的IRP_MJ_CREATE被hook了,比较变态:1. 用Gmer扫描能看到ntfs.sys的IRP_MJ_CREATE被hook了,为什么直接在windbg中或者用XueTr.exe中就看不到?2. 直接在windbg中去掉这个hook也不能起效?3变态的...
全文
回复
(
3
)
2010-03-25 17:29
来自版块 -
PC安全编程
◆
◆
表情
告诉我的粉丝
提 交
wowocock
:
XUETR 等ARK工具需要打开文件系统驱动文件,然后进行比较,但如果直接在CREATE里禁止打开,所以就无从比较,也就无法显示了。扫描内存可以检测被HOOK了,但因为无法获得原始文件,也就不好进行恢复,除非你搜索HOOK代码,找到原始地址。
(2013-09-10 18:07)
回复
wanghui219
:
用户被禁言,该主题自动屏蔽!
(2010-08-15 21:07)
回复
yanggao178
:
这个太难了
(2010-05-27 16:04)
回复
tkyouyou
加关注
写私信
0
关注
0
粉丝
2
帖子
返回顶部