Кто нибудь в курсе что делает касперский с таблицей SSDT, большая часть адресов показывает во внутрь ядра, но адреса то не те. Некоторые уходят в klif.sys. При попытке восстановления этих хуков на первоначальные винда уходит в перезагрузку (уже ждя появления бсода молится нада ).
Так я и сам знаю как восстанавливать SSDT, фича в том что касперский изменяет ВСЕ функции, причем большинство изменяет всего на несколько байт, некоторые на себя указывают. Но самое главное даже не это, при попытке вернуть первоначальный адрес функции приводит к перезагрузке, такое ощущение что он не просто адреса захучил но тело самих функций что ли изменил. ЗЫ: Пока не успел посмотреть предположение по поводу изменений функций.
там чуть ниже говорилось про то что он меняет не только адреса а их количество, и если восстановить неправильное число функций то все падает (до него 0x11B, после 0x129 или что то вроде этого). Почитай внимательнее
И про это знаю, он добавляет НОВЫЕ точки входа в ядро, для своих действий, так даже если восстановить ОДНУ функцию из видовых, не трогая больше ничего, все упадет при вызове этой восстановленной функции.
Да, это немного понадеялся на тулзу RkUnhooker. Сначала восстанавливал SSDT сам, но как раз затирал новые вызова касперского, поэтому он и падал. Но потом пробовал восстанавливать всего один вызов, как раз этой тулзой, и тоже все падало. Короче мои сорцы работают, если канечно не трогать доп вызовы касперского.
