-
发现系统中一个API函数(应是NtConnectPort吧)被HOOK了,而Iceword显示为未知模块,那么如何才能知道是哪个模块HOOK的?希望各位大侠指点,谢谢!图如附件。另外,我已通过Windbg看了一下,但没发现哪个模块是包含这个地址(LM命令的驱动没有,!proces...全文
◆
◆
-
liwashington:有老大指点一下就是不一样,呵呵,先谢了!!! 现在汇报一下新情况: 1、用RKU查看时,第一次曾在“Hidden drivers detector“页里(就是第二个图),在那几个未知页面下面(紧跟)见到过一个模块的handle,提示其为隐藏的,但是只见过一次,刷新后及后来(包括重...(2007-04-04 09:17)
-
guaiguaiguan:不知道这种隐藏是否是通过调用keQuerySystemInformation得到模块名称地址后,然后对该地址进行修改.(我没有经过测试,不敢证实这种方法能够抹掉这个地址),如果是的话,可以尽可能早地hook这个函数,最好把driverentry入口 也给hook上,还有drive...(2007-04-03 15:28)
-
liwashington:HOOK它倒是一种思路,问题在于现在不知道该HOOK谁,就是说皮不知道在哪里,毛附到哪里呢!各位老大是专家,我该如何做呢?先对各位的回复表示感谢了!(2007-04-03 10:16)
-
wowocock:他把自己的路经抹掉了,除非你做HOOK,不然没法知道他属于哪个摸块.(2007-04-03 09:47)
-
liwashington:用rku试了一下,问题好像更加严重了,它也不能找到这个模块,而且在驱动模块这一页里还发现了好几个未知代码页,且HOOK的函数应该就在其中,但问题是找不到是哪个模块产生这些页的,如图。(2007-04-02 15:19)
-
firabc:RkUnhooker(2007-04-02 14:56)
-
liwashington:rku是什么东东,能说的详细一点吗?全名?(2007-04-02 14:44)
-
WQXNETQIQI:拿rku扫一下,估计能查出未知驱动模块(2007-04-02 14:41)
