关于恢复KeAttachProcess inline hook

chilun · 发表于 2011-2-11 23:19:34

lkd> u KeAttachProcess
nt!KeAttachProcess:
804f9b32 8bff          mov    edi,edi
804f9b34 55             push ebp
804f9b35 8bec          mov    ebp,esp
804f9b37 56             push esi
804f9b38 57             push edi
804f9b39 64a124010000 mov    eax,dword ptr fs:[00000124h]
804f9b3f 8b7d08       mov    edi,dword ptr [ebp+8]
804f9b42 8bf0          mov    esi,eax
这是hook前的
lkd> u KeAttachProcess
nt!KeAttachProcess:
804f9b32 e939813005    jmp    85801c70
804f9b37 56             push esi
804f9b38 57             push edi
804f9b39 64a124010000 mov    eax,dword ptr fs:[00000124h]
804f9b3f 8b7d08       mov    edi,dword ptr [ebp+8]
804f9b42 8bf0          mov    esi,eax
804f9b44 397e44       cmp    dword ptr [esi+44h],edi
804f9b47 742f          je    nt!KeAttachProcess+0x46 (804f9b78)
这是运行某个游戏后的
很明显典型的jmp hook方式，，，我试过几种恢复，比方说
BYTE Top5Code[5] = {0x8b,0xff,0x55,0x8b,0xec};
........
RtlCopyMemory(KeAttachProcessAddress,Top5Code,5);
.........
这样过几秒后重启了，，，，很明显有检测，，，，求助：哪个哥哥给个好点的恢复方法

Tesla.Angela · 发表于 2011-2-11 23:22:32

镜像内核法绕过head inline hook

Tesla.Angela · 发表于 2011-2-11 23:23:44

或者用cr3法强制读写内存
这些代码我都发过
你自己好好找找吧
我困觉去了

chilun · 发表于 2011-2-11 23:33:26

本帖最后由 chilun 于 2011-2-12 00:05 编辑

老大不好意思，，我在论坛没找到呀？给点提示，或连接什么的《〈〈〈

hotnetbar · 发表于 2011-2-13 13:16:22

恢復貌似都會被檢測出來，繞過安全點吧

sunnnyzlc · 发表于 2012-5-17 17:09:19

我也好像也没找到啊!!

yy130com · 发表于 2012-5-19 22:36:38

http://www.m5home.com/bbs/forum. ... 5160&highlight={:soso_e200:}
我刚找到了还没来得急看发个链接先~！

账号		自动登录	找回密码
密码			加入我们