a2010xxb 发表于 2010-9-7 02:21:28

楼主为啥我下不来啊

ok100fen 发表于 2010-9-7 07:22:57

很不错啊

ok100fen 发表于 2010-11-23 20:41:37

才注意到这个帖子
差点错过了
我不明白的的是怎么来恢复?
如果我查出NtOpenrocess被inline hook了
我应该怎么恢复?
是不是我查出Openrocess的地址
然后填上,就能计算出左边的那五个字节
然后我应该怎么办?
谢谢

Tesla.Angela 发表于 2010-11-24 09:49:36

回复 ok100fen 的帖子

内核函数原始数据是通过读取内核文件获得的
内核函数实际数据是通过读取内核内存获得的
若发现两者不同则证明是被HOOK了
恢复钩子就是把内核内存的实际数据改成内核文件的原始数据

ok100fen 发表于 2010-11-24 18:03:00

这个得到的是文件的还是内存的?

Tesla.Angela 发表于 2011-2-5 18:44:31

回复 ok100fen 的帖子

当然是读文件得到的原始数据!!!

hotnetbar 发表于 2011-2-10 18:48:25

膜拜大牛

565710420 发表于 2011-12-6 21:34:41

恢复不是问题,

watchsky 发表于 2011-12-15 10:53:44

Tesla.Angela习惯VB啊

kxgsmk99 发表于 2012-2-19 13:20:20

好东西啊但是我应该看到 有的INLINEHOOK 在被恢复后 是有检测的 ,而且检测是很苛刻的 ,如果字节头文件和后一字节代码不一样 ,基本就是蓝屏啊!希望老大,能具体解决啊!??!!

kxgsmk99 发表于 2012-2-19 13:31:02

等待 第二季啊

Tesla.Angela 发表于 2012-2-20 16:18:44

kxgsmk99 发表于 2012-2-19 13:20 static/image/common/back.gif
好东西啊但是我应该看到 有的INLINEHOOK 在被恢复后 是有检测的 ,而且检测是很苛刻的 ,如果字节头 ...

如果是那种恢复钩子就蓝屏的,只有想办法绕过钩子了。。。

evilkis 发表于 2012-3-10 18:47:51

下载学习

evilkis 发表于 2012-3-10 19:26:52

{:soso_e116:}{:soso_e113:}

abcgoodwei 发表于 2012-3-17 21:22:05

感谢楼主分享啊

WG102514 发表于 2012-4-19 15:28:48

abcgoodwei 发表于 2012-3-17 21:22 static/image/common/back.gif
感谢楼主分享啊

顶起

kingsdows 发表于 2012-4-19 23:01:48

xt不是有这功能吗

wqs3568 发表于 2012-5-9 00:55:43

这代码风格!!!

shenghoumeng 发表于 2012-5-20 16:29:38

现在不知道还有用吗

wjshome 发表于 2012-6-12 10:32:45

感谢分享。

bboyiori 发表于 2012-12-14 11:19:26

原理介绍下

DevilLiao 发表于 2013-1-11 00:49:21

厉害啊。

chess0726 发表于 2013-2-24 16:31:48

Tesla.Angela 发表于 2010-11-24 09:49 static/image/common/back.gif
回复 ok100fen 的帖子

内核函数原始数据是通过读取内核文件获得的


原来系统默认的代码是读文件获得的。..终于知道一些工具他们都能得到没被Hook前代码了。

jhszs 发表于 2015-6-14 15:09:05

这根本不是源码啊吐血了

upring 发表于 2015-6-14 21:54:32

帖子一久远不知还能用吗
页: 1 [2]
查看完整版本: [半原创]六一儿童节礼物:恢复Kernel Inline Hook(第一季)