绕过 win32k.sys KeUserModeCallback 的iat hook
关于绕过 win32k.sysKeUserModeCallback 的iat hook,,哪位哥哥,给点提示??如果恢复 win32k.sys 的iat表,有检测的 绕过iat hook貌似很简单,直接找到函数地址直接call即可。 哥,直接找到函数地址,直接call是,,找到 win32k.sys 的iat中KeUserModeCallback地址?还是找到KeUserModeCallback回调函数地址?本帖最后由 chilun 于 2011-11-27 19:13 编辑
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserModeCallback地址
Tesla.Angela 2011-11-25 12:30
直接用MmGetSystemRoutineAddress
谢了哥,你的意思是说修改,win32k.sys 的iat中KeUserModeCallback的地址???但哪 个驱动保护他有检测,不能直接改iat中的地址,要想办法绕过 chilun 发表于 2011-11-27 19:11 static/image/common/back.gif
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserModeCallback地址
你是要直接调用这个函数么?
如果是的话找到它的地址,直接call! 谢谢老大回,,
[*]ntoskrnl.exe:KeUserModeCallback -> Iat 60 D2 B1 88 DE 2C 5A 80
这是xuetr查的,,这是一个驱动保护,,,我就是想绕过他 chilun 发表于 2011-11-27 22:42 static/image/common/back.gif
谢谢老大回,,
[*]ntoskrnl.exe:KeUserModeCallback ->
这位仁兄 解决了没。。。
我也走你这条路啊 chilun 发表于 2011-11-27 19:11
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserModeCallback地址
你是要直接调用这个函数么?
如果是的话找到它的地址,直接call!
哥哥,我不是想调用这个函数,,我只是想绕过这个iat hook
chilun 发表于 2011-12-12 21:04 static/image/common/back.gif
chilun 发表于 2011-11-27 19:11
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserMode ...
对不起,这个我不太清楚。。。 chilun 发表于 2011-12-12 21:04 static/image/common/back.gif
chilun 发表于 2011-11-27 19:11
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserMode ...
KeAttachProcess、KeStackAttachProcess你是不是IAT绕过的? 565710420 发表于 2011-12-12 23:25 static/image/common/back.gif
KeAttachProcess、KeStackAttachProcess你是不是IAT绕过的?
如果要读写内存的话,建议使用CR3大法!
页:
[1]