再谈绕过IceSword 1.22文件检测

楼主^#

更多发布于：2007-07-27 19:21

看了下，驱动中对IofCom???做了处理，于是想到了先Hook住KeRaise???函数，在其中再去Hook IofC???函数，果然起作用了~~

如果还想再恶心一点，先分配一块非分页内存，然后把HOOK函数拷过去，做好重定位，这样IS就显示不出是谁Hook的了（RKU也是） =)

z.b.Azy 驱动牛犊注册日期2006-03-11 最后登录2013-04-29 粉丝0 关注0 积分263分威望95点贡献值0点好评度91点原创分2分专家分0分加关注写私信	沙发^# 发布于：2007-07-27 19:48 引用第1楼violin于2007-07-27 19:34发表的 : 一般不需要知道谁hook，恢复hook就行了。这类hook感觉意义不大，它就像一个"我是流氓"的标签一样，有谁搞点有创意的~~~ 只是一种可行的方法，期待大牛们的创意~~~
	回复(0) 喜欢(0)

z.b.Azy 驱动牛犊注册日期2006-03-11 最后登录2013-04-29 粉丝0 关注0 积分263分威望95点贡献值0点好评度91点原创分2分专家分0分加关注写私信	板凳^# 发布于：2007-07-31 13:09 引用第6楼wowocock于2007-07-30 23:13发表的 : HOOK是毒瘤。。。。。。此言极是。。。如果继续下去路只会越来越窄。。。。
	回复(0) 喜欢(0)

发帖回复

您需要登录后才可以回帖，登录或者注册