变态的ntfs.sys 中的IRP_MJ_CREATE

楼主^#

更多发布于：2010-03-25 17:29

ntfs.sys 中的IRP_MJ_CREATE被hook了，比较变态：
1. 用Gmer扫描能看到ntfs.sys的IRP_MJ_CREATE被hook了，为什么直接在windbg中或者用XueTr.exe中就看不到？

2. 直接在windbg中去掉这个hook也不能起效？

3变态的ntfs.sys 中的IRP_MJ_CREATE . 如何去除这个钩子？

哪位大牛，帮忙解释一下。

或者有哪些类似Gmer 或者 Malwarebytes Anti-Malware的工具能直接remove 这个变态的hook?

喜欢0

yanggao178 驱动牛犊注册日期2010-05-27 最后登录2011-03-20 粉丝0 关注0 积分5分威望51点贡献值0点好评度0点原创分0分专家分0分加关注写私信	沙发^# 发布于：2010-05-27 16:04 这个太难了
	回复(0) 喜欢(0)

wanghui219 禁止发言注册日期2007-08-28 最后登录2019-07-29 粉丝4 关注3 积分101166分威望505351点贡献值0点好评度137点原创分0分专家分4分加关注写私信	板凳^# 发布于：2010-08-15 21:07 用户被禁言,该主题自动屏蔽!
	回复(0) 喜欢(0)

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

地板^#

发布于：2013-09-10 18:07

XUETR 等ARK工具需要打开文件系统驱动文件，然后进行比较，但如果直接在CREATE里禁止打开，所以就无从比较，也就无法显示了。扫描内存可以检测被HOOK了，但因为无法获得原始文件，也就不好进行恢复，除非你搜索HOOK代码，找到原始地址。

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

变态的ntfs.sys 中的IRP_MJ_CREATE

最新喜欢：