cainiaocai 发表于 2011-10-19 06:18:32

关于KeAttachProcess和KeStackAttachProcess

某个游戏驱动inline hook了这两个函数的头5个字节,而且不能直接恢复,会重启电脑。

有人说可以自写KeAttachProcess/KeStackAttachProcess,但自己写的函数怎么让系统调用呢?

还有没有其他方法可以绕过去?{:soso_e101:}

Tesla.Angela 发表于 2011-10-19 18:41:09

在很多年前,xacker已经为我指出了一条明路。

cainiaocai 发表于 2011-10-20 03:20:31

谢谢啊,我看看先:)

sunnnyzlc 发表于 2012-5-17 17:10:27

好东西!先收下了!

kk1025 发表于 2013-4-8 14:14:23

看下!! 支持!

hapi 发表于 2015-8-18 15:26:54

hook了 ObOpenObjectByPointer,看你怎么搞

tangptr@126.com 发表于 2015-8-18 23:52:03

其实Hook了ObOpenObjectByPointer的解决方案有很多,比如调用更底层的ObpCreateHandle自己创建句柄绕过ObOpenObjectByPointer的钩子,也可以在NtOpenProcess的call ObOpenObjectByPointer指令做修改,使之指向一个函数,这个函数用汇编描述大致是:
mov edi,edi
push ebp
mov ebp,esp
jmp dword ptr ObOpenObjectByPointer+5
jmp dword ptr NtOpenProcess+0x229
这样一来正好绕过ObOpenObjectByPointer的头五字节Hook
如果是EAT Hook更好办了,直接把call指令后的地址改成真实地址就行了。
要绕过钩子方法多得很呢
页: [1]
查看完整版本: 关于KeAttachProcess和KeStackAttachProcess