- 注册时间
- 2013-3-10
- 最后登录
- 2013-8-13
- 在线时间
- 14 小时
终身VIP会员
  
- 魔鬼币
- 9499
|
7月23号TX更新了驱动后,我最近试验了一下,发现比原来多NTProtectVirusMemory,和NTSuspendThread,前面2个比较好过,我将SSDT表的导出地址,修改成我的中继函数,里面判断如果是DNF的调用就直接跳到他的HOOK地址,如果不是直接执行原本的函数。
第二个改变,原本是HOOK KeAttachProcess和KestackAttachProcess里面调用的KiAttachProcess,现在直接在 KeAttachProcess和KestackAttachProcess的 头7个字节做了HOOK,变成MOV EAX,0XXXXXX JMP EAX。
我想请问的问题是,1。如何过掉KeAttachProcess和KestackAttachProcess的头部HOOK,应该不能直接恢复把,带有检测。
2。我利用XT将DNF HOOK的地址全部恢复了,发现DNF开启后,OD还是附加不上任何的进程,请问这个问题怎么解决?
谢谢大神帮助解答一下,祝身体健康,谢谢。
|
|
发表于 2013-8-4 14:32:27