论文降重
免费查重
编程实现Ring0下恢复所有模块导出函数的inline hook驱动
基本信息来源于合作网站,原文需代理用户跳转至来源网站获取
摘要:
在驱动中,inline hook核心模块函数的执行代码是Rootkit、AntiRootkit和Antivirus等软件的惯用方法。在模块代码中加入JMP CODE,使函数能够在执行前或执行后跳转到它们的处理代码中.达到所期望的目的。如果我们将这些inlinehook代码恢复.它们的功能就会全部失效,而本文的目的就是让所有模块的导出函数(EAT中的函数)恢复成原来的样子,只要能够获取到未导出函数的地址(比如我们可以从KiSerViCeTabIe中获取未导出的sSDT函数地址),就可以将这个函数恢复到原来的代码。
推荐文章
PS型数据采集接口板卡的驱动模块开发
Windows98
虚拟设备驱动程序VxD
中断
定时器
Ring0层敏感文件窃泄密监测系统
窃泄密
文件监测
Ring0层
信息安全
敏感文件
利用Hook技术实现进程控制
钩子
操作系统
消息拦截
进程
动态链接库
如何HOOK系统服务实现文件(夹)保护
系统服务
Native API
HOOK
文件保护
内容分析
关键词云
关键词热度
相关文献总数
(/次)
(/年)
引文网络
引文网络
二级参考文献 (0)
共引文献 (0)
参考文献 (0)
节点文献
引证文献 (0)
同被引文献 (0)
二级引证文献 (0)
2008(0)
- 参考文献(0)
- 二级参考文献(0)
- 引证文献(0)
- 二级引证文献(0)
研究主题发展历程
节点文献
导出函数
模块函数
hook
驱动
ANTIVIRUS
ROOTKIT
编程
CODE
研究起点
研究来源
研究分支
研究去脉
引文网络交叉学科
相关学者/机构
期刊影响力
黑客防线
主办单位:
出版周期:
月刊
ISSN:
CN:
开本:
出版地:
北京中关村邮局008信箱
邮发代号:
创刊时间:
语种:
出版文献量(篇)
5313
总下载数(次)
10
总被引数(次)
0
期刊文献
相关文献
推荐文献
