首页>编程与逆向>内核编程>关于恢复 ssdt shadow 的问题
回复
« 返回列表
baohongyu
baohongyu
驱动牛犊
驱动牛犊
  • 注册日期2002-03-13
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
阅读:1514回复:3

关于恢复 ssdt shadow 的问题

楼主#
更多 发布于:2007-09-18 10:22
读文件恢复SSDT,比较容易。因为ntos......exe 有导出表。

win32k.sys的很多函数却没有导出。如果按特征码来搜的话,那 2k xp 2003 visa ,每个函数不是要四份特征码吗?

Rootkit Unhooker 这个工具好像就是利用读文件来恢复的。不是用特征码来定位的。

不知道 RU 恢复 ssdt shadow 是怎么实现的。
喜欢0
回复
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2007-09-18 12:13
let's reverse  it!  
驱动开发者 呵呵
回复(0) 喜欢(0)
bizhan123
bizhan123
驱动小牛
驱动小牛
  • 注册日期2006-12-26
  • 最后登录2012-03-19
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望166点
  • 贡献值0点
  • 好评度125点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-09-18 13:20
如果搜特征码的话,不只四份。因为每个补丁版本,特征码也很可能不一样
实用信息:www.infozobo.com
回复(0) 喜欢(0)
baohongyu
baohongyu
驱动牛犊
驱动牛犊
  • 注册日期2002-03-13
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-09-18 14:36
逆向RU看不懂。太复杂
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部