编程实现Ring0下恢复所有模块导出函数的inline hook驱动

作　　者：pixiebox

出　　处：《黑客防线》2008年第10期70-73,共4页

摘　　要：在驱动中，inline hook核心模块函数的执行代码是Rootkit、AntiRootkit和Antivirus等软件的惯用方法。在模块代码中加入JMP CODE，使函数能够在执行前或执行后跳转到它们的处理代码中．达到所期望的目的。如果我们将这些inlinehook代码恢复．它们的功能就会全部失效，而本文的目的就是让所有模块的导出函数（EAT中的函数）恢复成原来的样子，只要能够获取到未导出函数的地址（比如我们可以从KiSerViCeTabIe中获取未导出的sSDT函数地址），就可以将这个函数恢复到原来的代码。

关键词：导出函数模块函数 hook 驱动 ANTIVIRUS ROOTKIT 编程 CODE

分类号：TP31[自动化与计算机技术—计算机软件与理论] TP311.11[自动化与计算机技术—计算机科学与技术]

参考文献：

正在载入数据...

二级参考文献：

正在载入数据...

耦合文献：

正在载入数据...

引证文献：

正在载入数据...

二级引证文献：

正在载入数据...

同被引文献：

正在载入数据...

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

编程实现Ring0下恢复所有模块导出函数的inline hook驱动

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

高级检索检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

编程实现Ring0下恢复所有模块导出函数的inline hook驱动

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

用户登录

高级检索检索式检索