2,640
社区成员
发帖
与我相关
我的任务
分享SSDT挂接后 Icesword是怎么知道原始的真实地址的?
如果我修改了SSDT中的某一个内核API地址,指向我自己的函数进行Hook
这个时候启动Icesword, 它能够检测出来此函数被替换了,而且它还知道原始的真实地址
请教: Icesword是从哪里知道这个地址的?
这个时候启动Icesword, 它能够检测出来此函数被替换了,而且它还知道原始的真实地址
请教: Icesword是从哪里知道这个地址的?
...全文
请发表友善的回复…
发表回复
StarsunYzL 2009-06-19
- 打赏
- 举报
这个里面有代码
http://bbs.pediy.com/showthread.php?t=78164
另外还有个工具叫SDTrestore的也有代码,都可以找到/恢复原始SSDT
http://bbs.pediy.com/showthread.php?t=58157
前者是Ring0的,后者是Ring3的
http://bbs.pediy.com/showthread.php?t=78164
另外还有个工具叫SDTrestore的也有代码,都可以找到/恢复原始SSDT
http://bbs.pediy.com/showthread.php?t=58157
前者是Ring0的,后者是Ring3的
greatws 2009-06-19
- 打赏
- 举报
kanxue上有个类似icesword的代码,可以看看。
http://bbs.pediy.com/showthread.php?t=78164
http://bbs.pediy.com/showthread.php?t=78164
ZOthello 2009-06-19
- 打赏
- 举报
SSDT HOOK这么修改会被主动防御软件发现的,还是在其它东西上想办法hook吧~~
CodeProject-Jerry 2009-06-18
- 打赏
- 举报
我想知道具体的细节
NTooL 2009-06-18
- 打赏
- 举报
还是去看雪看看吧。
一笑拔剑 2009-06-18
- 打赏
- 举报
代码?
icesword有人反过
但是源代码这么可能有
你想看可以去kanxue下一个模拟icesword的代码
icesword有人反过
但是源代码这么可能有
你想看可以去kanxue下一个模拟icesword的代码
CodeProject-Jerry 2009-06-18
- 打赏
- 举报
谢谢1楼教我学电脑
2楼,有没有代码示例?
2楼,有没有代码示例?
StarsunYzL 2009-06-18
- 打赏
- 举报
IceSword是从硬盘上静态的ntoskrnl.exe文件中分析获取原始是SSDT地址
当发现和内存中的不一样时就认为被修改了
当发现和内存中的不一样时就认为被修改了
hzfch 2009-06-18
- 打赏
- 举报
点击 SSDT (好像铃铛图标) 会显示 system service descriptor table
服务ID 当前地址 函数所在模块 原始地址 函数名
服务ID 当前地址 函数所在模块 原始地址 函数名
Cusyer 2009-06-18
- 打赏
- 举报
去相关网站和论坛看看。比如看雪 Debugman 等
