- 博客(4)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。
2014-05-23 22:48:51
11491
2
原创 Win7 64位的SSDTHOOK(1)---SSDT表的寻找
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。方法1:读取c0000082寄存器 kd> rdmsr c0000082 msr[c0000082] = fffff800
2014-05-21 22:48:41
6808
1
转载 一种躲避运行时代码校验的方法(Reload And Run)
转自看雪。 我们有时候需要对运行中的程序打内存补丁,或者对它的代码挂一些钩子之类的工作。但是现在相当多软件进行了运行时的代码检测。一旦发现内存中的代码被修改掉,就会进行处理。本文介绍了一种比较特别的办法,用于通过这些检测。 首先需要说一下做运行时代码校验的方法。一般来说,校验者需要取得当前模块的基地址,通过分析PE结构,获得代码节的偏移和大小,然后对内存中的代码进行CRC
2014-05-02 21:26:58
2588
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人