微点交流论坛

标题: [ithurricane] 绕过微点的EAT HOOK来枚举内核回调～ [打印本页]

作者: 点饭的百度空间 时间: 2010-7-6 14:06 标题: [ithurricane] 绕过微点的EAT HOOK来枚举内核回调～

http://hi.baidu.com/ithurricane/ ... dac3d39d8204dd.html

2010-07-06 12:54

我写的小工具PT在装有微点的电脑上无法枚举内核回调，
我装了个微点看了一下，原来微点EAT hook了PsSetCreateProcessNotifyRoutine，PsSetLoadImageNotifyRoutine
等地址，所以就无法枚举了，
只要取得正确的地址就可以了解决这个问题了，

微点有很多做法是其他杀毒，主防工具所没有的，很强大的说也给我带来了新的挑战！

呵呵，微点让我长了不少见识啊～～～

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn