摘要:
已经把代码附上了….以前的没什么修改,在搜索特征码时没有在非分页内存搜.可能会蓝屏,不过你应该做下适当修改–sysnap之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导出的函数,这个会了,基本什么函数都会hook,呵呵,先看下它的定义吧NTSTAT 阅读全文
2010年12月22日 #
摘要:
网上很多hook代码,尤其是Obxxxxxx系列函数,它们很邪恶,一旦hook得好,可如入无人之境,这点我深有体会啊,但是同时它们调用频繁,比如ObReferenceObjectByxxxxxx,基本上windows的每一个操作,都会调用它。比如就简单的一个双击一下记事本,ObReferenceObjectByxxxxxx已经被调用了,所以在进行hook的时候,如果功力不深,就容易造成BSOD。一般如果是我在动这些蛋糕的时候,我都会注意如下几个方面:1,一个强大的汇编引擎,一个强大的引擎必不可少2,#pragma LOCKEDCODE3, CurrentIRQL = KeGetCurrentI 阅读全文