关于恢复KeAttachProcess inline hook
lkd> u KeAttachProcessnt!KeAttachProcess:
804f9b32 8bff mov edi,edi
804f9b34 55 push ebp
804f9b35 8bec mov ebp,esp
804f9b37 56 push esi
804f9b38 57 push edi
804f9b39 64a124010000 mov eax,dword ptr fs:
804f9b3f 8b7d08 mov edi,dword ptr
804f9b42 8bf0 mov esi,eax
这是hook前的
lkd> u KeAttachProcess
nt!KeAttachProcess:
804f9b32 e939813005 jmp 85801c70
804f9b37 56 push esi
804f9b38 57 push edi
804f9b39 64a124010000 mov eax,dword ptr fs:
804f9b3f 8b7d08 mov edi,dword ptr
804f9b42 8bf0 mov esi,eax
804f9b44 397e44 cmp dword ptr ,edi
804f9b47 742f je nt!KeAttachProcess+0x46 (804f9b78)
这是运行某个游戏后的
很明显典型的jmp hook方式,,,我试过几种恢复,比方说
BYTE Top5Code = {0x8b,0xff,0x55,0x8b,0xec};
........
RtlCopyMemory(KeAttachProcessAddress,Top5Code,5);
.........
这样过几秒后重启了,,,,很明显有检测,,,,求助:哪个哥哥给个好点的恢复方法 镜像内核法绕过head inline hook 或者用cr3法强制读写内存
这些代码我都发过
你自己好好找找吧
我困觉去了 本帖最后由 chilun 于 2011-2-12 00:05 编辑
老大不好意思,,我在论坛没找到呀?给点提示,或连接什么的《〈〈〈 恢復貌似都會被檢測出來,繞過安全點吧 我也好像也没找到啊!! http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=5160&highlight={:soso_e200:}
我刚找到了 还没来得急看 发个链接先~!
页:
[1]