windows 怎么分析内核函数劫持
1个回答
展开全部
劫持函数?被hook的意思吗
像一般的ssdt的函数表hook,直接再map一份ntoskrnl,导出表里找KeServiceDescriptorTable,然后对比表里的指针,一般的inline hook,改函数头前5字节或8字节,同理和镜像的ssdt函数头的节对比就行,当然你想做高级一些可以加入行为判断等方法,或者判断当前进程是否跳进了其他内核模块执行(常规rootkit),其他感觉就没啥了,如果要恢复最简单粗暴的方法就是内核重载。以上是一些常规的ssdt hook监测思路,有兴趣可以看看xp遁甲的源码或者其他一些开源的ARK软件源码。
像一般的ssdt的函数表hook,直接再map一份ntoskrnl,导出表里找KeServiceDescriptorTable,然后对比表里的指针,一般的inline hook,改函数头前5字节或8字节,同理和镜像的ssdt函数头的节对比就行,当然你想做高级一些可以加入行为判断等方法,或者判断当前进程是否跳进了其他内核模块执行(常规rootkit),其他感觉就没啥了,如果要恢复最简单粗暴的方法就是内核重载。以上是一些常规的ssdt hook监测思路,有兴趣可以看看xp遁甲的源码或者其他一些开源的ARK软件源码。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
