首先,加载一个你自己写的驱动.然后在驱动中检查SSDT,如果发现有哪些服务函数入口被修改,并且函数入口被替换为NP的驱动模块中的地址,那就证明该API被NP所HOOK(ring0 hook),这个时候你需要做的就是找出原始的服务函数入口地址,并在hook函数入口处直接跳转到该入口地址就行了.参数都不用考虑,因为系统进入服务时参数完全是一致并且有效的.[@more@]
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/631872/viewspace-899300/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/631872/viewspace-899300/