» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【炉子】某种过SSDT HOOK的想法   作者: 标题: 【炉子】某种过SSDT HOOK的想法 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【炉子】某种过SSDT HOOK的想法 breakinglove In the days of playing war3, I've studied to say GG 2008-05-29 07:55 本来想拿这写个过微点的发到黑防去骗稿费 后来发现自己确实懒了- - 先用些猥琐方法加载驱动（各人有各人的方法，我倒是没什么好方法了，太久没关注这些。） 然后分配两个NonPagedPool，一个是原始的KeServiceDescriptorTable（包括KiServiceTable也要弄个新的），一个是Shadow（包括w32pServiceTable），然后根据遍历进程，如果是GUI进程（Thread->ServiceTable是Shadow）就把Thread->ServiceTable改成自己分配的那个Shadow的那个Pool，如果是非GUI线程就改成自己分配的KSDT那个Pool。 过常见的SSDT HOOK不成问题。 不知道微点还有其他的地方的钩子没，如果没的话，哈哈 作者博客: http://hi.baidu.com/breakinglove ... c91c540fb345b8.html ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-5-29 10:16 qq200878 中级用户 积分 456 发帖 452 注册 2007-11-17 #2   微点解决了吗? ※ ※ ※ 本文纯属【qq200878】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-1 18:53 lotei 版主 病毒区地方父母官 积分 776 发帖 775 注册 2006-10-14 来自 被人们遗忘了的村庄 #3     Quote: Originally posted by qq200878 at 2008-6-1 18:53: 微点解决了吗? 只是作者的猜想，其实作者这个想法只是过了SSDT的隐藏，是我的话肯定还有别的，至少还有INLINE-HOOK啊！呵呵另外原始的原始的KeServiceDescriptorTable怎么得到的！ ※ ※ ※ 本文纯属【lotei】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 让自己更加睿智，其实看透了！你就放下了！ 2008-6-2 15:47 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号