版块
论坛
喜欢
话题
应用
搜索
登录
注册
liwashington的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=81517
一个API函数被HOOK了(iceword显示为未知模块),如何知道是哪个模块做的?
发现系统中一个API函数(应是NtConnectPort吧)被HOOK了,而Iceword显示为未知模块,那么如何才能知道是哪个模块HOOK的?希望各位大侠指点,谢谢!图如附件。另外,我已通过Windbg看了一下,但没发现哪个模块是包含这个地址(LM命令的驱动没有,!proces...
全文
回复
(
18
)
2007-04-02 13:49
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
liwashington
:
有老大指点一下就是不一样,呵呵,先谢了!!! 现在汇报一下新情况: 1、用RKU查看时,第一次曾在“Hidden drivers detector“页里(就是第二个图),在那几个未知页面下面(紧跟)见到过一个模块的handle,提示其为隐藏的,但是只见过一次,刷新后及后来(包括重...
(2007-04-04 09:17)
回复
guaiguaiguan
:
不知道这种隐藏是否是通过调用keQuerySystemInformation得到模块名称地址后,然后对该地址进行修改.(我没有经过测试,不敢证实这种方法能够抹掉这个地址),如果是的话,可以尽可能早地hook这个函数,最好把driverentry入口 也给hook上,还有drive...
(2007-04-03 15:28)
回复
liwashington
:
HOOK它倒是一种思路,问题在于现在不知道该HOOK谁,就是说皮不知道在哪里,毛附到哪里呢!各位老大是专家,我该如何做呢?先对各位的回复表示感谢了!
(2007-04-03 10:16)
回复
wowocock
:
他把自己的路经抹掉了,除非你做HOOK,不然没法知道他属于哪个摸块.
(2007-04-03 09:47)
回复
liwashington
:
用rku试了一下,问题好像更加严重了,它也不能找到这个模块,而且在驱动模块这一页里还发现了好几个未知代码页,且HOOK的函数应该就在其中,但问题是找不到是哪个模块产生这些页的,如图。
(2007-04-02 15:19)
回复
firabc
:
RkUnhooker
(2007-04-02 14:56)
回复
liwashington
:
rku是什么东东,能说的详细一点吗?全名?
(2007-04-02 14:44)
回复
WQXNETQIQI
:
拿rku扫一下,估计能查出未知驱动模块
(2007-04-02 14:41)
回复
« 上一页
1
2
liwashington
加关注
写私信
0
关注
0
粉丝
150
帖子
返回顶部