社区
硬件/系统
帖子详情
SSDT挂接后 Icesword是怎么知道原始的真实地址的?
CodeProject-Jerry
2009-06-17 10:13:22
如果我修改了SSDT中的某一个内核API地址,指向我自己的函数进行Hook
这个时候启动Icesword, 它能够检测出来此函数被替换了,而且它还知道原始的真实地址
请教:
Icesword是从哪里知道这个地址的?
...全文
147
10
打赏
收藏
SSDT挂接后 Icesword是怎么知道原始的真实地址的?
如果我修改了SSDT中的某一个内核API地址,指向我自己的函数进行Hook 这个时候启动Icesword, 它能够检测出来此函数被替换了,而且它还知道原始的真实地址 请教: Icesword是从哪里知道这个地址的?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
10 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
StarsunYzL
2009-06-19
打赏
举报
回复
这个里面有代码
http://bbs.pediy.com/showthread.php?t=78164
另外还有个工具叫SDTrestore的也有代码,都可以找到/恢复原始SSDT
http://bbs.pediy.com/showthread.php?t=58157
前者是Ring0的,后者是Ring3的
greatws
2009-06-19
打赏
举报
回复
kanxue上有个类似icesword的代码,可以看看。
http://bbs.pediy.com/showthread.php?t=78164
ZOthello
2009-06-19
打赏
举报
回复
SSDT HOOK这么修改会被主动防御软件发现的,还是在其它东西上想办法hook吧~~
CodeProject-Jerry
2009-06-18
打赏
举报
回复
我想知道具体的细节
NTooL
2009-06-18
打赏
举报
回复
还是去看雪看看吧。
一笑拔剑
2009-06-18
打赏
举报
回复
代码?
icesword有人反过
但是源代码这么可能有
你想看可以去kanxue下一个模拟icesword的代码
CodeProject-Jerry
2009-06-18
打赏
举报
回复
谢谢1楼教我学电脑
2楼,有没有代码示例?
StarsunYzL
2009-06-18
打赏
举报
回复
IceSword是从硬盘上静态的ntoskrnl.exe文件中分析获取原始是SSDT地址
当发现和内存中的不一样时就认为被修改了
hzfch
2009-06-18
打赏
举报
回复
点击 SSDT (好像铃铛图标) 会显示 system service descriptor table
服务ID 当前地址 函数所在模块 原始地址 函数名
Cusyer
2009-06-18
打赏
举报
回复
去相关网站和论坛看看。比如看雪 Debugman 等
R0层获取Shadow
SSD
T函数
原始
地址
实例
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow
SSD
T表函数
原始
地址
的办法。 主要函数:ULONG GetShadow
SSD
T_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
Shadow
SSD
T服务函数
原始
地址
可以獲取到Shadow
SSD
T服务函数
原始
地址
,这更是大多数朋友所期待的。
Windows内核-系统调用
熟悉Windows三环API到Windows内核的执行流程,清晰的了解调用细节 是在游戏对抗中不可缺少的技术点 自写三环API(让调试器(OD,CE)断点无效)
SSD
T HOOK(让调试器(OD,CE)无法打开进程) 系统调用: API三环...
易语言实现64位全系统获取
SSD
T
地址
易源码是有bug的 win7 获取
真实
的
地址
可以没啥问题 win10的就有问题。实在没时间去修了 驱动没啥问题 反复测试没蓝屏 (驱动已签名)。其他的问题后期在看着弄吧 提示驱动获取的
ssd
t
地址
是没问题的。
原始
地址
是...
挂钩
SSD
T隐藏进程
挂钩
SSD
T隐藏进程,供大家开发学习使用。谢谢
硬件/系统
2,640
社区成员
17,239
社区内容
发帖
与我相关
我的任务
硬件/系统
VC/MFC 硬件/系统
复制链接
扫一扫
分享
社区描述
VC/MFC 硬件/系统
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章