- 博客(1)
- 资源 (1)
- 收藏
- 关注
原创 通过对系统分派表的直接还原,防御内核本地API钩子(翻译)
通过对系统分派表的直接还原,防御内核本地API钩子介绍win32内核rootkit通过挂钩本地内核的API去修改系统的行为。这项技术通常是通过修改内核中的系统服务分派表(System Service Dispatch Table)来实现的。这样的修改确保了通过rootkit安装的一个钩子函数先于本地原始的API被调用。钩子函数通常调用本地原始的API并在返回给用户空间程序之前修改其输出。这
2008-04-18 21:29:00 2428
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人