阅读:3227回复:19
再谈绕过IceSword 1.22文件检测
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~
如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =) |
|
最新喜欢:haifen... |
沙发#
发布于:2007-07-27 19:48
引用第1楼violin于2007-07-27 19:34发表的 : 只是一种可行的方法, 期待大牛们的创意~~~ |
|
板凳#
发布于:2007-07-31 13:09
引用第6楼wowocock于2007-07-30 23:13发表的 : 此言极是。。。如果继续下去路只会越来越窄。。。。 |
|