首页>编程与逆向>内核编程>不改CR0和MDL也可以改写SSDT
回复
« 返回列表
wslijs1988
wslijs1988
驱动牛犊
驱动牛犊
  • 注册日期2009-02-21
  • 最后登录2017-08-23
  • 粉丝2
  • 关注0
  • 积分34分
  • 威望301点
  • 贡献值1点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:1966回复:6

不改CR0和MDL也可以改写SSDT

楼主#
更多 发布于:2009-08-27 14:40
ServiceTable = KeServiceDescriptorTable;
RealZwQuerySystemInformation = SYSCALL(ZwQuerySystemInformation);
SYSCALL(ZwQuerySystemInformation) = (PVOID)HookZwQuerySystemInformation;


我没有改CR0..也没有改MDL...
但同样钩住了ZwQuerySystemInformation.........
看大牛们的代码里都改写了MDL或者CR0...
我只想知道为什么不改写这2个..也同样可以改写SSDT呢?
喜欢0
初DD.然后K.韶华白首,转瞬即逝.
回复
skymelai
skymelai
驱动牛犊
驱动牛犊
  • 注册日期2007-08-10
  • 最后登录2010-01-29
  • 粉丝1
  • 关注0
  • 积分81分
  • 威望711点
  • 贡献值3点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2009-08-27 15:03
观注中,兄弟代码发上来看看。
回复(0) 喜欢(0)
wslijs1988
wslijs1988
驱动牛犊
驱动牛犊
  • 注册日期2009-02-21
  • 最后登录2017-08-23
  • 粉丝2
  • 关注0
  • 积分34分
  • 威望301点
  • 贡献值1点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2009-08-27 15:03
好的.
初DD.然后K.韶华白首,转瞬即逝.
回复(0) 喜欢(0)
wslijs1988
wslijs1988
驱动牛犊
驱动牛犊
  • 注册日期2009-02-21
  • 最后登录2017-08-23
  • 粉丝2
  • 关注0
  • 积分34分
  • 威望301点
  • 贡献值1点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2009-08-27 15:04
...........已处理..
初DD.然后K.韶华白首,转瞬即逝.
回复(0) 喜欢(0)
wslijs1988
wslijs1988
驱动牛犊
驱动牛犊
  • 注册日期2009-02-21
  • 最后登录2017-08-23
  • 粉丝2
  • 关注0
  • 积分34分
  • 威望301点
  • 贡献值1点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2009-08-27 15:04
..............已处理
初DD.然后K.韶华白首,转瞬即逝.
回复(0) 喜欢(0)
wslijs1988
wslijs1988
驱动牛犊
驱动牛犊
  • 注册日期2009-02-21
  • 最后登录2017-08-23
  • 粉丝2
  • 关注0
  • 积分34分
  • 威望301点
  • 贡献值1点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2009-08-27 15:04
#define    SYSCALL(_function)  ServiceTable->ServiceTable[*(PULONG)((PUCHAR)_function+1)]
初DD.然后K.韶华白首,转瞬即逝.
回复(0) 喜欢(0)
xioxio
xioxio
驱动牛犊
驱动牛犊
  • 注册日期2009-06-16
  • 最后登录2010-04-06
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望91点
  • 贡献值1点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2009-09-08 19:32
关注中
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部