shellcode

摘要： 之前我已经讲了SSDT的hook,所以关于hook的原理,我们就不在多说,不懂Hook原理的请先看这一篇,www.cnblogs.com/qq32175822/p/3517887.html 下面我讲讲ShadowSSDThook,什么是ShadowSSDT,从英文名字来看,叫影子SSDT表.我们之前已经说了,SSDT表里存放着一些NT函数地址,这些NT函数是真正的内核执行体,我们从r3调用api,一直转到r0,然后通过SSDT表找到真实的NT函数地址执行.而ShadowSSDT呢?也是一张表,这张表里也存放是一些NT函数,这些函数也是真正的内核执行体,而里面是哪些NT函数呢?就是关于一些界面. 阅读全文