瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星全功能安全软件 60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩

1   1  /  1  页   跳转

[转载] 60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩

60安全卫士hookport.sys简单逆向——KiFastCallEntry挂钩

360安全卫士并没有使用通常的方式——直接修改SSDTSSDTShadow进行挂钩。由于两个表中的函数最终是由系统未导出的函数KiFastCallEntry调用的,所以360在适当的位置挂载了KiFastCallEntry函数,达到了过滤的目的。大多数ARK软件只检测了两个表是否被更改,所以不能检测360HOOK
        上面介绍的MyHookMgr结构之所以占据近6K的连续内存空间,是因为KiFastCallEntry是一个频繁被系统调用的函数,所以钩子的效率十分重要,使用连续的空间可以节省出大量寻址时间,是一种空间换时间的做法。


http://apps.hi.baidu.com/share/detail/24689569



建议改进


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.9 (KHTML, like Gecko) Maxthon/3.0 Safari/533.9
最后编辑shulun743 最后编辑于 2011-01-13 10:47:49
分享到:
gototop
 
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT