求恢复Shadow SSDT 一个函数

wiken888 2010-02-02 07:04:36
有个程序修改了Shadow SSDT NtUserPostMessage这个函数
导致PostMessage发送失败。
大牛门帮帮忙啊
不用太复杂 就恢复一个函数就行了

打开程序 备份当前?
界面控制 恢复。

...全文
154 4 打赏 收藏 举报
写回复
4 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
zhuang_bx 2010-02-04
  • 打赏
  • 举报
 回复
顶一下,学习中 ...
gyk120 2010-02-03
  • 打赏
  • 举报
 回复
Ring3下可以用ZwSystemDebugControl去读,但是恢复,涉及到win32k驱动,没法直接用户态恢复
驱动恢复的帖子在看雪可以找到
gyk120 2010-02-02
  • 打赏
  • 举报
 回复
Shadow SSDT的恢复要用到驱动的,你要指向KeServiceDescriptorTableShadow,这个必须在驱动里面完成,如果只是查看的话倒是可以直接用用户态函数
wiken888 2010-02-02
  • 打赏
  • 举报
 回复
ring3下怎么看呢
还有要怎么恢复呢
相关推荐
易语言Shadow ssdt HOOK恢复
易语言Shadow ssdt HOOK恢复
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt 在windbg中查看shadow ssdt: 0: kd> lm start    end        module name 804d8000 806e3000   nt         (pdb symbols)     
Shadow SSDT
 A、Shadow SSDT表基址定位    B、Shadow SSDT表结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符表 extern KeServiceDescriptorTableShadow //影子系统描述符表  win32k.sys bp win32k!NtUserPostMessage bp win32k...
【原创】Hook Shadow SSDT
标 题: 【原创】Hook Shadow SSDT 作 者: sislcb 时 间: 2008-06-02,23:21:04 链 接: http://bbs.pediy.com/showthread.php?t=65931 网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我
Hook Shadow SSDT
网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。 这里主要是hook 了NtUserFindWindowEx,NtUserBuildHwndList,NtUse
发帖
Windows SDK/API

1177

社区成员

2.2w+

社区内容

Delphi Windows SDK/API
社区管理员
  • Windows SDK/API社区
加入社区
帖子事件
创建了帖子
2010-02-02 07:04
社区公告
暂无公告