0
我正在研究一個rootkit並將其逆轉。我想我寫這個rootkit專用的反rk。rootkit掛鉤了一些不能從用戶模式中解除掛鉤的內核模式函數,或者如果我從用戶模式中解開它們,它們將不會離開,並且會回來。 那麼你有什麼建議?如何解開SSDT鉤子並使它們被蓋住?
A
回答
2
這裏有很多示例代碼和開源項目。您可以參考他們的來源以瞭解SSDT解除掛鉤。舉幾個例子:
https://code.google.com/p/arkitlib/
https://code.google.com/p/oark/
+0
感謝swatkat。 – n1kita
相關問題
- 1. 鉤ZwTerminateProcess(無SSDT)
- 2. 覆蓋PHP變量並記住它
- 3. 解析CSV文件,找到列並記住它們
- 4. 窗鉤 - 它們是如何工作的?
- 5. 鉤住使用jQuery
- 6. 如何記住它們的jQuery
- 7. 如何使用ssdt鉤子技術攔截創建新文件夾的操作?
- 8. 瞭解抽象類和方法並正確覆蓋它們
- 9. Codeigniter掛鉤公用變量,但如何在需要時覆蓋它們
- 10. 覆蓋鉤子模板
- 11. 如何檢查文件是否打開並使用它們,如果不打開它們?
- 12. UIView的影子被其他視圖所覆蓋,如何解決它?
- 13. 如何添加到日期列表?它被覆蓋。我該如何解決它?
- 14. 如何使用它們的子行
- 15. 如何使用JSP的現有鉤子覆蓋Languange_ru.properties?
- 16. 如何獲得SharedPreferences文件的內容,並覆蓋它們嗎?
- 17. VC++:如何鉤住/解除特定單個線程
- 18. Ember.js:如何在每個子視圖呈現後鉤住Ember.CollectionView?
- 19. Bazaar合併鉤子?
- 20. 紅寶石:如何鉤住類方法
- 21. 如何鉤住iPhone中的短信
- 22. Jquery - 如何確保它不被覆蓋
- 23. 使用matplotlib,如何通過覆蓋它們並顯示它們的比率圖來比較直方圖?
- 24. 創建git後合併掛鉤並在Git Tower中使用它們
- 25. 從一個從未被鉤住的事件解開委託是否存在任何問題?
- 26. WP鉤子不被稱爲
- 27. 你如何覆蓋兩個div並使它們的高度相同?
- 28. 如何使用SSDT的nuget?
- 29. 打開多個子窗口並跟蹤它們全部
- 30. 我們如何解除我們不再使用它的觀點?
該rootkit在內核模式下運行,所以除非你運行內核模式中至少有一些你的代碼,以及你將處於嚴重的,可能是致命的,不利的。 (一種可能的選擇是編寫離線運行的代碼,例如,從DVD啓動時。) –