60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星全功能安全软件 60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[转载] 60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-01-13 10:46 \| 只看楼主短消息资料字号：小中大 1楼 60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩 360安全卫士并没有使用通常的方式——直接修改SSDT和SSDTShadow进行挂钩。由于两个表中的函数最终是由系统未导出的函数KiFastCallEntry调用的，所以360在适当的位置挂载了KiFastCallEntry函数，达到了过滤的目的。大多数ARK软件只检测了两个表是否被更改，所以不能检测出360的HOOK。上面介绍的MyHookMgr结构之所以占据近6K的连续内存空间，是因为KiFastCallEntry是一个频繁被系统调用的函数，所以钩子的效率十分重要，使用连续的空间可以节省出大量寻址时间，是一种空间换时间的做法。 http://apps.hi.baidu.com/share/detail/24689569 建议改进用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.9 (KHTML, like Gecko) Maxthon/3.0 Safari/533.9 shulun743 最后编辑于 2011-01-13 10:47:49
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	分享到：

万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123	发表于： 2011-01-13 10:56 \| 短消息资料字号：小中大 2楼回复：60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩您的建议已收集，感谢您的支持。
万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-01-13 11:24 \| 只看楼主短消息资料字号：小中大 3楼回复：60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩相关资料：：： http://hi.baidu.com/webxeyes/blog/item/a367c5116605dc1ab8127b3a.html http://www.98exe.net/Article/c/2011-01-07/2494.html http://www.aomsk.cn/remenguanzhu/2010/0604/3760.html http://bbs.myhack58.com/simple/index.php?t242323.html http://blog.csdn.net/hanshuo2010/archive/2010/09/19/5894673.aspx
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:

万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123	发表于： 2011-01-13 15:41 \| 短消息资料字号：小中大 4楼回复：60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩资料已收集，感谢您的支持。
万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT