计算机安全

0%

Posted on In

过inline HOOK技巧

  1. 可以通过对驱动加载前后Nt函数的内容对比,找出关键位置,文本对比工具很多
  2. 注意一些不是Nt开头的函数,例如keAttachProcess函数(这个函数实际上是调用了kiAttachProcess函数,所以看看调用出是否挂钩),我们也许要hook还原。
  3. KeDebuggerEnable这个和SSDT表一样也是导出的,是一个标志位,1的话呢是可以调试
  4. 不要忘记对CR0操作
  5. 工具不可完全相信,特别是inline hook