阅读:1855回复:4
如何知道被hook的函数在哪个sys内?
rt,如何知道被hook的函数在哪个sys内?
请各位指点~ |
|
|
沙发#
发布于:2007-04-16 09:07
分析指令取得目标地址,然后对比驱动范围,注意分析指令一定智能化,比如PUSH XXXXXXXX,RET
MOV EAX,XXXXXXX,JMP EAX,等非常规方法都要能检测出来,最好用专门的反汇编引擎进行智能化处理==。。。。。。。。 |
|
|
板凳#
发布于:2007-04-16 17:57
现已取得了目标地址,如何对比驱动范围呢,怎样知道这个地址是属于哪个区动的,请大侠指点指点~ 不胜感激~
![]() |
|
|
地板#
发布于:2007-04-16 20:12
枚举内核模块,得到每个SYS的基址与大小,再看得到的地址是在哪个SYS的地址空间内。
![]() |
|
地下室#
发布于:2007-04-16 20:34
引用第1楼wowocock于2007-04-16 09:07发表的“”: 怎么才能算上智能化呢? 如果在驱动空间内找一个没用的地址xxxx,然后inline hook驱动的函数mov eax xxxx,jmp eax;类似这样的hook怎么才能检测出来? |
|