关于驱动的自保护

楼主^#

更多发布于：2007-08-03 09:23

比如我做了一个HOOK SSDT驱动，其他驱动加载后会覆盖我的钩子，怎样保证我的驱动不被覆盖？
（包括重启计算机后）

举个简单例子：装了瑞星，卡巴，和我的驱动，开机后始终让我的驱动最后加载，即使被覆盖也能马上重再HOOK一次

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-08-03 10:44 太毒了. 当然,你可以创建一个线程,始终检查SSDT的你的HOOK是否存在,如果变化了,马上关闭写保护,然后重新HOOK. 不过对于大牛们来说,这个轻而易举可以把你的SSDT删掉.
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

加关注写私信

板凳^#

发布于：2007-08-03 11:14

drx ,ZwSuspendThread

驱动开发者呵呵

回复喜欢

wowocock

VIP专家组

加关注写私信

地板^#

发布于：2007-08-03 12:48

drx只能保护线性地址，不能保护物理地址。

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

bladellz 驱动小牛注册日期2006-03-20 最后登录2016-01-09 粉丝0 关注0 积分1000分威望121点贡献值0点好评度120点原创分0分专家分0分加关注写私信	地下室^# 发布于：2007-08-03 13:34 难道真没有很好办法吗? ZwSuspendThread有何作用
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册