请教TA一个问题，关于SSDT的

ok100fen · 发表于 2010-8-17 11:22:30

我现在明白了用ssdt来保护进程
但是恢复了ssdt，就可以杀掉这个进程
是不是所有用ssdt保护的进程，都可以用恢复ssdt来杀掉进程？

还有保护进程，除了用ssdt外，还有其他方法吗？
什么方法？大概举个例子~~

谢谢

jiedengye · 发表于 2010-8-17 13:36:46

ssdt进程保护只是内核保护最基本的方法，就是不恢复ssdt也有很多种方式杀进程。比如清零、比如apc等等。进程保护只是想对的。进程保护你可以inline hook或者隐藏之类的都可以，但是总会有办法查出来，杀掉

ok100fen · 发表于 2010-8-17 13:52:28

谢谢ls

我想知道的是，怎么能查出是用哪种方式进行保护的？

xiaoly99 · 发表于 2010-8-17 15:59:39

实际情况实际分析,可能是SSDT修改,Inline内核函数.都可能.

a33287651 · 发表于 2010-8-17 16:01:03

提示: 作者被禁止或删除内容自动屏蔽

ok100fen · 发表于 2010-8-17 19:02:45

哪个软件能检测？
xuetr？
冰刃？
还是Kernel Detective？

我就知道这三个
呵呵

Tesla.Angela · 发表于 2010-8-18 00:40:59

回复 1# ok100fen

有，你看看我以前写的垃圾代码：
http://www.m5home.com/bbs/thread-3613-1-1.html

账号		自动登录	找回密码
密码			加入我们