Tesla.Angela
发表于 2012-7-9 14:28:19
[原创]随便说说卡巴斯基2012在WIN7 X64上的SHADOW SSDT HOOK
卡巴斯基2012在WIN7 X64上HOOK了这些函数:
http://m5home.com/bbs/data/attachment/album/201207/04/1530024chsrmj5viji5a5j.png
稍微分析一下原理:
**** Hidden Message *****注意:PatchGuard不管WIN7的SHADOW SSDT HOOK。
LittlePig
发表于 2012-7-9 14:57:48
sf?
lee0ne
发表于 2012-7-9 18:17:56
感谢分享{:soso__15521507034850143217_2:}
Tesla.Angela
发表于 2012-7-9 20:49:35
sb666 发表于 2012-7-9 20:12 static/image/common/back.gif
有什么方便的方法判断内存是不是带可执行属性……我觉得这个问题很不好解决…… ...
我也为此事感到郁闷:http://www.m5home.com/bbs/thread-6908-1-1.html
huzhao23
发表于 2012-7-9 22:53:26
是什么原理啊
rshell
发表于 2012-7-10 07:56:37
什么情况近来了解一二
dico
发表于 2012-7-10 08:00:14
可SHADOW SSDT是不是不是很稳定啊??
Tesla.Angela
发表于 2012-7-10 13:21:42
dico 发表于 2012-7-10 08:00 static/image/common/back.gif
可SHADOW SSDT是不是不是很稳定啊??
目前在WIN64上HOOK SHADOW SSDT还不用破解PG,不过以后就难说了。
KMSRussian
发表于 2012-7-11 10:38:43
回复看分析
gl542400
发表于 2012-7-11 19:17:18
很强大的工具!
Tesla.Angela
发表于 2012-7-11 20:32:43
rqqeq 发表于 2012-7-10 11:30 static/image/common/back.gif
在64位系统下无论是sddthook 或 shadwo hook 都很麻烦
rqqeq这个秘密在业界貌似只有卡巴一家发现了……发表于 1 小时前 IP:58.20.47.68
不是也被你发现了吗?
wsnhyjj
发表于 2012-7-11 21:15:35
回复 SEE SEE
ithurricane
发表于 2012-7-12 10:59:05
Xor
发表于 2012-7-15 12:57:53
look
xmlpull
发表于 2012-7-16 01:13:03
哟。看看
lkytal
发表于 2012-7-16 15:15:30
学习学习
lsj_pro
发表于 2012-7-19 09:20:52
ta 大大有出现了,呵呵,很高兴
h604640377
发表于 2012-7-24 11:52:21
学习了
Bambo
发表于 2012-7-31 11:47:53
估计很快微软就会封上的了。
404022
发表于 2012-8-10 17:04:07
瞧瞧这个小秘密
watchsky
发表于 2012-8-10 22:37:32
see
watchsky
发表于 2012-8-10 22:37:47
see
a33287651
发表于 2012-8-24 12:51:37
z804768186
发表于 2012-8-24 13:40:09
支持楼主,学习学习
renminbi
发表于 2013-1-22 00:30:06
学习,真的可以HOOK。
148030434
发表于 2013-1-22 20:56:36
拜膜楼主学习了~~~
MagicFuzzX
发表于 2013-1-29 12:52:07
卡巴这个是做反截屏和窗口保护吧
Tesla.Angela
发表于 2013-1-30 13:01:07
MagicFuzzX 发表于 2013-1-29 12:52 static/image/common/back.gif
卡巴这个是做反截屏和窗口保护吧
真聪明,猜对了。
k1e0a2v5
发表于 2013-2-1 18:15:52
真想知道HOOK之後能如何
iloveqqp
发表于 2013-2-19 21:29:39
什么原理啊!?
cuigg2013
发表于 2013-2-21 20:13:31
好资料
rkq1991
发表于 2013-2-22 22:48:44
回复一个了解下