首页>编程与逆向>内核编程>问一个很菜的问题,VISTA还能HOOK SSDT 吗?
回复
« 返回列表
xiaofang
xiaofang
驱动牛犊
驱动牛犊
  • 注册日期2002-03-12
  • 最后登录2013-04-26
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望67点
  • 贡献值0点
  • 好评度22点
  • 原创分0分
  • 专家分0分
写私信
阅读:3314回复:9

问一个很菜的问题,VISTA还能HOOK SSDT 吗?

楼主#
更多 发布于:2008-02-02 00:32
问一个很菜的问题,VISTA还能HOOK  SSDT 吗?
我在32位 VISTA 下用HOOK  SSDT的方法HOOK了ZwCreateThread,但是在创建新的进程的时候,怎么没有调用NtCreateThread?
喜欢0
回复
skeeter_xu
skeeter_xu
驱动牛犊
驱动牛犊
  • 注册日期2006-05-14
  • 最后登录2010-04-17
  • 粉丝0
  • 关注0
  • 积分180分
  • 威望20点
  • 贡献值0点
  • 好评度19点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2008-02-02 10:50
至少windows xp下的方法不能用了。vista下面有内核保护。
三人行,必有我师
回复(0) 喜欢(0)
zhangleierli
zhangleierli
驱动小牛
驱动小牛
  • 注册日期2007-01-31
  • 最后登录2017-05-24
  • 粉丝1
  • 关注0
  • 积分3分
  • 威望158点
  • 贡献值0点
  • 好评度146点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
板凳#
发布于:2008-02-02 11:02
Re:问一个很菜的问题,VISTA还能HOOK  SSDT 吗?
谁说不能用的,我天天挂着ssdt跑vista也没见什么问题。64位的系统应该不可用了。
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
地板#
发布于:2008-02-02 11:48
64位也可以,就是SSDT描述的玩意都是long64而已,地址long64,但是只有低32位有效,高32位都是1~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
地下室#
发布于:2008-02-02 11:49
Vista下进程走NtCreateUserProcess了~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
xiaofang
xiaofang
驱动牛犊
驱动牛犊
  • 注册日期2002-03-12
  • 最后登录2013-04-26
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望67点
  • 贡献值0点
  • 好评度22点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2008-02-02 12:01
谢谢,有没有更具体一点的?
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
6楼#
发布于:2008-02-02 16:10
更具体,欢迎付费
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
xiaofang
xiaofang
驱动牛犊
驱动牛犊
  • 注册日期2002-03-12
  • 最后登录2013-04-26
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望67点
  • 贡献值0点
  • 好评度22点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2008-02-12 22:26
我指自己在32 位VISTA 上亲自试了试,HOOK SSDT 是没有问题的,关键就是原来有的一些函数系统已经不调用了。比如进程就已经有内核直接完成了NtCreateUserProcess。
现在还没有搞清楚 NtCreateUserProcess 具体参数的意义,只知道是11个参数,和最后一个参数的部分内容。
回复(0) 喜欢(0)
ciomhan
ciomhan
驱动牛犊
驱动牛犊
  • 注册日期2004-04-26
  • 最后登录2010-07-27
  • 粉丝0
  • 关注0
  • 积分244分
  • 威望75点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2008-02-28 14:36
e,这么多N人都可以破patchguard了!
回复(0) 喜欢(0)
qydgood
qydgood
驱动牛犊
驱动牛犊
  • 注册日期2004-12-06
  • 最后登录2011-03-28
  • 粉丝1
  • 关注0
  • 积分106分
  • 威望30点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2008-04-29 03:02
提供WINDOWS启动时的图形库及键盘接口.

提供内核层超稳定的HOOK库,可以拦任何函数,
  如NTOSKRNL.EXE,BOOTVID.DLL,KDCOM.DLL,HAL.DLL等所有的函数。

          连系EMAIL : qydok@126.com



----
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部