版块
论坛
喜欢
话题
应用
搜索
登录
注册
liwashington的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=81517
一个API函数被HOOK了(iceword显示为未知模块),如何知道是哪个模块做的?
发现系统中一个API函数(应是NtConnectPort吧)被HOOK了,而Iceword显示为未知模块,那么如何才能知道是哪个模块HOOK的?希望各位大侠指点,谢谢!图如附件。另外,我已通过Windbg看了一下,但没发现哪个模块是包含这个地址(LM命令的驱动没有,!proces...
全文
回复
(
18
)
2007-04-02 13:49
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
qiweixue
:
有道理........
(2007-05-17 20:07)
回复
scut_duoluo
:
动态分配内存 把代码COPY上去 然后执行 这些代码不属于任何模块 单是这样是看不出来是哪个模块的 还是自己写程序慢慢分析吧
(2007-05-16 14:59)
回复
daxueqier
:
版主,能不能详细解释一下,小弟看不明白。
(2007-05-09 09:50)
回复
killvxk
:
莫非这就是固化思想广泛的发光了~
(2007-05-08 16:28)
回复
daxueqier
:
我的电脑也出现了同样的问题,用syscheck可以看到模块提供者是system32下的 hal.dll,但是这个文件是系统文件。请教各位大侠应该怎样处理,谢谢!!
(2007-05-08 11:04)
回复
wingsoft
:
如何知道被hook的函数在哪个sys内,是用什么方法检查的啊?
(2007-04-15 09:45)
回复
softbiao
:
这很有可能是Hook的处理程序是动态分配的,所以显示为未知模块也很正常~~
(2007-04-14 23:38)
回复
liwashington
:
DarkCat:这位老大说的是什么意思?能不能详细一点?
(2007-04-09 09:10)
回复
DarkCat
:
%USERPROFILE%\Templates\随机名称\随机名称的.dll和.exe 反过来是不是容易一点?
(2007-04-08 09:01)
回复
zjjmj2002
:
装的多处理器说,爽哦
(2007-04-05 09:56)
回复
1
2
下一页 »
liwashington
加关注
写私信
0
关注
0
粉丝
150
帖子
返回顶部