[半原创]六一儿童节礼物：恢复Kernel Inline Hook（第一季）

a2010xxb · 发表于 2010-9-7 02:21:28

楼主为啥我下不来啊

ok100fen · 发表于 2010-9-7 07:22:57

很不错啊

ok100fen · 发表于 2010-11-23 20:41:37

才注意到这个帖子
差点错过了
我不明白的的是怎么来恢复？
如果我查出NtOpenrocess被inline hook了
我应该怎么恢复？
是不是我查出Openrocess的地址
然后填上，就能计算出左边的那五个字节
然后我应该怎么办？
谢谢

Tesla.Angela · 发表于 2010-11-24 09:49:36

回复 ok100fen 的帖子

内核函数原始数据是通过读取内核文件获得的
内核函数实际数据是通过读取内核内存获得的
若发现两者不同则证明是被HOOK了
恢复钩子就是把内核内存的实际数据改成内核文件的原始数据

ok100fen · 发表于 2010-11-24 18:03:00

这个得到的是文件的还是内存的？

Tesla.Angela · 发表于 2011-2-5 18:44:31

回复 ok100fen 的帖子

当然是读文件得到的原始数据！！！

hotnetbar · 发表于 2011-2-10 18:48:25

膜拜大牛

565710420 · 发表于 2011-12-6 21:34:41

恢复不是问题，

watchsky · 发表于 2011-12-15 10:53:44

Tesla.Angela习惯VB啊

kxgsmk99 · 发表于 2012-2-19 13:20:20

好东西啊但是我应该看到有的INLINE HOOK 在被恢复后是有检测的，而且检测是很苛刻的，如果字节头文件和后一字节代码不一样，基本就是蓝屏啊！希望老大，能具体解决啊！？？！！

kxgsmk99 · 发表于 2012-2-19 13:31:02

等待第二季啊

Tesla.Angela · 发表于 2012-2-20 16:18:44

kxgsmk99 发表于 2012-2-19 13:20
好东西啊但是我应该看到有的INLINE HOOK 在被恢复后是有检测的，而且检测是很苛刻的，如果字节头 ...

如果是那种恢复钩子就蓝屏的，只有想办法绕过钩子了。。。

evilkis · 发表于 2012-3-10 18:47:51

下载学习

evilkis · 发表于 2012-3-10 19:26:52

{:soso_e116:}{:soso_e113:}

abcgoodwei · 发表于 2012-3-17 21:22:05

感谢楼主分享啊

WG102514 · 发表于 2012-4-19 15:28:48

abcgoodwei 发表于 2012-3-17 21:22
感谢楼主分享啊

顶起

kingsdows · 发表于 2012-4-19 23:01:48

xt不是有这功能吗

wqs3568 · 发表于 2012-5-9 00:55:43

这代码风格！！！

shenghoumeng · 发表于 2012-5-20 16:29:38

现在不知道还有用吗

wjshome · 发表于 2012-6-12 10:32:45

感谢分享。

bboyiori · 发表于 2012-12-14 11:19:26

原理介绍下

DevilLiao · 发表于 2013-1-11 00:49:21

厉害啊。

chess0726 · 发表于 2013-2-24 16:31:48

Tesla.Angela 发表于 2010-11-24 09:49
回复 ok100fen 的帖子

内核函数原始数据是通过读取内核文件获得的

原来系统默认的代码是读文件获得的。.. 终于知道一些工具他们都能得到没被Hook前代码了。

jhszs · 发表于 2015-6-14 15:09:05

这根本不是源码啊吐血了

upring · 发表于 2015-6-14 21:54:32

帖子一久远不知还能用吗

账号		自动登录	找回密码
密码			加入我们