关于KeAttachProcess和KeStackAttachProcess

cainiaocai · 发表于 2011-10-19 06:18:32

某个游戏驱动inline hook了这两个函数的头5个字节，而且不能直接恢复，会重启电脑。

有人说可以自写KeAttachProcess/KeStackAttachProcess，但自己写的函数怎么让系统调用呢？

还有没有其他方法可以绕过去？{:soso_e101:}

Tesla.Angela · 发表于 2011-10-19 18:41:09

在很多年前，xacker已经为我指出了一条明路。

cainiaocai · 发表于 2011-10-20 03:20:31

谢谢啊，我看看先

sunnnyzlc · 发表于 2012-5-17 17:10:27

好东西!先收下了!

kk1025 · 发表于 2013-4-8 14:14:23

看下!! 支持!

hapi · 发表于 2015-8-18 15:26:54

hook了 ObOpenObjectByPointer，看你怎么搞

tangptr@126.com · 发表于 2015-8-18 23:52:03

其实Hook了ObOpenObjectByPointer的解决方案有很多，比如调用更底层的ObpCreateHandle自己创建句柄绕过ObOpenObjectByPointer的钩子，也可以在NtOpenProcess的call ObOpenObjectByPointer指令做修改，使之指向一个函数，这个函数用汇编描述大致是：

mov edi,edi
push ebp
mov ebp,esp
jmp dword ptr ObOpenObjectByPointer+5
jmp dword ptr NtOpenProcess+0x229

复制代码

这样一来正好绕过ObOpenObjectByPointer的头五字节Hook
如果是EAT Hook更好办了，直接把call指令后的地址改成真实地址就行了。
要绕过钩子方法多得很呢

账号		自动登录	找回密码
密码			加入我们