阅读:3901回复:18
一个API函数被HOOK了(iceword显示为未知模块),如何知道是哪个模块做的?
发现系统中一个API函数(应是NtConnectPort吧)被HOOK了,而Iceword显示为未知模块,那么如何才能知道是哪个模块HOOK的?希望各位大侠指点,谢谢!图如附件。
另外,我已通过Windbg看了一下,但没发现哪个模块是包含这个地址(LM命令的驱动没有,!process也没发现),是方法不对还是命令使用的不对? |
|
|
沙发#
发布于:2007-04-02 14:44
rku是什么东东,能说的详细一点吗?全名?
|
|
|
板凳#
发布于:2007-04-02 15:19
用rku试了一下,问题好像更加严重了,它也不能找到这个模块,而且在驱动模块这一页里还发现了好几个未知代码页,且HOOK的函数应该就在其中,但问题是找不到是哪个模块产生这些页的,如图。
|
|
|
地板#
发布于:2007-04-03 10:16
HOOK它倒是一种思路,问题在于现在不知道该HOOK谁,就是说皮不知道在哪里,毛附到哪里呢!各位老大是专家,我该如何做呢?先对各位的回复表示感谢了!
|
|
|
地下室#
发布于:2007-04-04 09:17
有老大指点一下就是不一样,呵呵,先谢了!!!
现在汇报一下新情况: 1、用RKU查看时,第一次曾在“Hidden drivers detector“页里(就是第二个图),在那几个未知页面下面(紧跟)见到过一个模块的handle,提示其为隐藏的,但是只见过一次,刷新后及后来(包括重启几次)都再也见不到了。 2、昨天曾进过安全模式,当时RKU不能运行,说是无法加载驱动,而Iceword倒是可以运行,并且显示这时没有函数被HOOK 3、本来想用Windbg做远程调试的,本机没有串口;装了SOFTICE想做启动调试,谁知SOFTICE安装时出错,试了几次都这样,只好选“忽略”,但是装好后却无法运行,真是郁闷极了。(顺便提醒大家以后买本子要带串口哈,这时才知道有串口的好处)。 实在没有办法就只好HOOK一下来试试,但这还要写程序,只好等有时间了。对了,那位大侠知道内核中把模块隐藏掉,然后创建几个未知的代码页来运行(或者这时运行的那个模块已经退出了?)的原理呀,这个才是偶最感兴趣的。 |
|
|
5楼#
发布于:2007-04-09 09:10
DarkCat:这位老大说的是什么意思?能不能详细一点?
|
|
|