摘要:
今天我下载的瑞星的新版本23.00.24.98,分析一下瑞星在免费之后内核当中的Hook有没有什么变化!1. SSDT 和 Shadow SSDT Hook 瑞星Hook了一大堆的SSDT,我就直接在内核里面把它们都恢复了!2. inline Hook 瑞星Hook了ObReferenceObjectByHandle前面的5个字节Hook前:kd> u nt!ObReferenceObjectByHandlent!ObReferenceObjectByHandle:805b1ab6 8bff mov edi,edi805b1ab8 55 push ebp805b1ab9 8bec mov 阅读全文
摘要:
今天下载了360的最新的版本,想看下最近360在内核的钩子与以前有没有变化!与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。Hook之前:kd> u nt!KiFastCallEntry+0xe1nt!KiFastCallEntry+0xe1:8053e621 2be1 sub esp,ecx8053e623 c1e902 shr ecx,28053e626 8bfc mov edi,esp8053e628 3b35d4995580 cmp esi,dword ptr [nt!MmUserProbeAddress (805599d4)]Hook之后:kd> 阅读全文