微点交流论坛

标题: 【炉子】某种过SSDT HOOK的想法 [打印本页]

作者: 点饭的百度空间 时间: 2008-5-29 10:16 标题: 【炉子】某种过SSDT HOOK的想法

breakinglove
In the days of playing war3, I've studied to say GG

2008-05-29 07:55

本来想拿这写个过微点的发到黑防去骗稿费后来发现自己确实懒了- -

先用些猥琐方法加载驱动（各人有各人的方法，我倒是没什么好方法了，太久没关注这些。）

然后分配两个NonPagedPool，一个是原始的KeServiceDescriptorTable（包括KiServiceTable也要弄个新的），一个是Shadow（包括w32pServiceTable），然后根据遍历进程，如果是GUI进程（Thread->ServiceTable是Shadow）就把Thread->ServiceTable改成自己分配的那个Shadow的那个Pool，如果是非GUI线程就改成自己分配的KSDT那个Pool。过常见的SSDT HOOK不成问题。

不知道微点还有其他的地方的钩子没，如果没的话，哈哈

作者博客:
http://hi.baidu.com/breakinglove ... c91c540fb345b8.html

作者: qq200878 时间: 2008-6-1 18:53
微点解决了吗?

作者: lotei 时间: 2008-6-2 15:47

Quote:

Originally posted by qq200878 at 2008-6-1 18:53:
微点解决了吗?

只是作者的猜想，其实作者这个想法只是过了SSDT的隐藏，是我的话肯定还有别的，至少还有INLINE-HOOK啊！呵呵另外原始的原始的KeServiceDescriptorTable怎么得到的！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn