请教TA一个问题,关于SSDT的
我现在明白了用ssdt来保护进程但是恢复了ssdt,就可以杀掉这个进程
是不是所有用ssdt保护的进程,都可以用恢复ssdt来杀掉进程?
还有保护进程,除了用ssdt外,还有其他方法吗?
什么方法?大概举个例子~~
谢谢 ssdt进程保护只是内核保护最基本的方法,就是不恢复ssdt也有很多种方式杀进程。比如清零、比如apc等等。进程保护只是想对的。进程保护你可以inline hook或者隐藏之类的都可以,但是总会有办法查出来,杀掉 谢谢ls
我想知道的是,怎么能查出是用哪种方式进行保护的? 实际情况实际分析,可能是SSDT修改,Inline内核函数.都可能. 哪个软件能检测?
xuetr?
冰刃?
还是Kernel Detective?
我就知道这三个
呵呵 回复 1# ok100fen
有,你看看我以前写的垃圾代码:
http://www.m5home.com/bbs/thread-3613-1-1.html
页:
[1]