Windows 如何解开SSDT挂钩并使其脱落?
我正在开发一个rootkit并将其反转。我假设为这种rootkit编写我的特定于rk的anti-rk。rootkit钩住了一些内核模式函数,这些函数无法从用户模式中解除钩住,或者如果我从用户模式中解除钩住它们,它们将无法逃脱,并且会回来。Windows 如何解开SSDT挂钩并使其脱落?,windows,hook,rootkit,Windows,Hook,Rootkit,我正在开发一个rootkit并将其反转。我假设为这种rootkit编写我的特定于rk的anti-rk。rootkit钩住了一些内核模式函数,这些函数无法从用户模式中解除钩住,或者如果我从用户模式中解除钩住它们,它们将无法逃脱,并且会回来。 那么你有什么建议 有很多示例代码和开源项目,它们可以做到这一点。您可以参考他们的来源了解SSDT解钩。几个例子: rootkit是在内核模式下运行的,因此,除非您至少在内核模式下运行部分代码,否则您将处于严重的、可能是致命的劣势。(一种可能的替代方法是编写离
那么你有什么建议 有很多示例代码和开源项目,它们可以做到这一点。您可以参考他们的来源了解SSDT解钩。几个例子:
rootkit是在内核模式下运行的,因此,除非您至少在内核模式下运行部分代码,否则您将处于严重的、可能是致命的劣势。(一种可能的替代方法是编写离线运行的代码,例如从DVD引导时。)