紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 16045|回复: 31

精简版NtOpenKey+NtDeleteKey

  [复制链接]

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2012-6-26 09:56:04 | 显示全部楼层 |阅读模式
对付那些泛滥的SSDT/INLINE HOOK NtDeleteKey最有效。需要自己找到CmDeleteKey的地址再行调用。
这代码是从WRK里抠出来的,因此在WIN XP和WIN2K3上应该没有兼容性问题,在WIN7 X64上亦可使用。
游客,如果您要查看本帖隐藏内容请回复

2

主题

74

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
597
发表于 2012-6-27 07:54:28 | 显示全部楼层
老的意思是可以绕过HOOK监控是吧?

4

主题

187

帖子

3

精华

钻石会员

Rank: 6Rank: 6

积分
4965
发表于 2012-6-27 08:58:11 | 显示全部楼层
see
头像被屏蔽

0

主题

51

帖子

0

精华

初来乍到

Rank: 1

积分
228
发表于 2012-6-27 09:06:57 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

4

主题

187

帖子

3

精华

钻石会员

Rank: 6Rank: 6

积分
4965
发表于 2012-6-29 15:31:20 | 显示全部楼层
safe3600里的ZwSetValueKey好像也是这么用的

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
 楼主| 发表于 2012-6-30 13:36:13 | 显示全部楼层
watchsky 发表于 2012-6-29 15:31
safe3600里的ZwSetValueKey好像也是这么用的

啥意思???
我这个是自己实现NtOpenKey+NtDeleteKey。

4

主题

187

帖子

3

精华

钻石会员

Rank: 6Rank: 6

积分
4965
发表于 2012-7-1 15:38:54 | 显示全部楼层
Tesla.Angela 发表于 2012-6-30 13:36
啥意思???
我这个是自己实现NtOpenKey+NtDeleteKey。

safe3600的ZwSetValueKey也是自己实现的,没仔细看,感觉里面基本是wrk源码加一些过滤

1

主题

50

帖子

1

精华

金牌会员

Rank: 4Rank: 4Rank: 4Rank: 4

积分
1225
发表于 2012-7-3 20:28:10 | 显示全部楼层
学习。

0

主题

20

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
86
发表于 2012-7-24 10:03:11 | 显示全部楼层
看一看了~~~~~~~~

0

主题

10

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
52
发表于 2012-8-14 15:12:31 | 显示全部楼层
看看学习下~~
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-29 02:06 , Processed in 0.028687 second(s), 22 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表