对付ring0 inline hook

时间：2015-06-24 14:17:14 阅读：87 评论：0 收藏：0 [点我收藏+]

标签：

对付ring0 inline hook的基本思路是这样的，自己写一个替换的内核函数，以NtOpenProcess为例，就是MyNtOpenProcess。然后修改SSDT表，让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是，实现NtOpenProcess前10字节指令，然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess函数头写的JMP都失效了，在ring3直接调用OpenProcess再也毫无影响。

对付ring0 inline hook

标签：

原文地址：http://www.cnblogs.com/Browneyes/p/4597385.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行

分布式事务 2021-07-29
OpenStack云平台命令行登录账户 2021-07-29
getLastRowNum()与getLastCellNum()/getPhysicalNumberOfRows()与getPhysicalNumberOfCells() 2021-07-29
【K8s概念】CSI 卷克隆 2021-07-29
vue3.0使用ant-design-vue进行按需加载原来这么简单 2021-07-29
stack栈 2021-07-29
抽奖动画 - 大转盘抽奖 2021-07-29
PPT写作技巧 2021-07-29
003-核心技术-IO模型-NIO-基于NIO群聊示例 2021-07-29
Bootstrap组件2 2021-07-29