access
驱动牛犊
驱动牛犊
  • 注册日期2004-11-14
  • 最后登录2004-11-30
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
阅读:3045回复:4

新手问题,能不能用系统驱动来hook ZwWriteVirtualMemory,使别的程序调用WriteProcessMemory 无效?

楼主#
更多 发布于:2004-11-25 20:41
各位大家好,我是新来的。
我有一个问题,是这样的,有一个程序一启动就hook 了主要的api 使它们调用无效。

我想用系统驱动来hook ntdll.ZwWriteVirtualMemory 使它的hook 无效,不知道这样可行吗,请各位大哥指点一二,谢谢 !

toadwolf
驱动牛犊
驱动牛犊
  • 注册日期2003-11-30
  • 最后登录2013-11-12
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望67点
  • 贡献值0点
  • 好评度26点
  • 原创分0分
  • 专家分0分
沙发#
发布于:2004-11-26 03:00
为什么不PATCH那个程序的IMPORT TABLE呢? 直接使它的WriteProcessMemory失效不行吗?
access
驱动牛犊
驱动牛犊
  • 注册日期2004-11-14
  • 最后登录2004-11-30
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2004-11-30 12:02
to 楼上,那个程序做了加密,没有办法修改
toadwolf
驱动牛犊
驱动牛犊
  • 注册日期2003-11-30
  • 最后登录2013-11-12
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望67点
  • 贡献值0点
  • 好评度26点
  • 原创分0分
  • 专家分0分
地板#
发布于:2004-12-02 09:04
那就PATCH那个进程空间的KERNEL32的EXPORT TABLE:

1. 用CreateProcess(..., CREATE_SUSPENDED, ...)打开该加密的进程
2. 用CreateRemoteThread来载入kernel32.dll
3. PATCH kernel32.dll的export table的WriteProcessMemory函数

toad
gaga_fucker
驱动牛犊
驱动牛犊
  • 注册日期2006-11-10
  • 最后登录2007-04-16
  • 粉丝0
  • 关注0
  • 积分70分
  • 威望8点
  • 贡献值0点
  • 好评度7点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2007-02-09 18:57
HOOK SDT里面的NtWriteProcessMemory 也可以,卡吧经常这样做
游客

返回顶部