Возможно ли снять хук в SSDT?

prus · 23 мар 2008

Всем привет!
Скажите плз... В системе есть драйвер, который хукает функции NtOpenProcess, NtOpenThread. Как почитал, определить подставную функцию можно просканировав таблицу в ntoskrnl.exe адресов функций и если они не попадают в диапазон, по которому загружен ntoskrnl.exe, то нашли.
Возможно ли снять хук в SSDT с помощью другого драйвера имея адреса подставных функций?

steelfactor · 23 мар 2008

prus
А почему нет?
Мапь ядро с диска и парси SSDT. На форуме кстати, примеры были, юзай поиск.

zoool · 23 мар 2008

Читай маны от 90210

prus · 23 мар 2008

Почитаю обязательно. Хочется из ядра сделать.
А можно просто заменить адрес подставной функции на адрес, который можно получить просмотрев таблицу экспорта модуля ntoskrnl.exe ?

zoool · 23 мар 2008

который можно получить просмотрев таблицу экспорта модуля ntoskrnl.exe ?
Нажмите, чтобы раскрыть...

Нельзя.
В таблице экспорта оригинальных обработчиков не найдешь.

wasm_test · 24 мар 2008

zoool
Почему это? Некоторые Nt* сервисы напрямую экспортируются, например, NtCreateFile

2FED · 24 мар 2008

Вот именно что некоторые, например функции работы с реестром напрямую не эксортируются

Войти или зарегистрироваться

Возможно ли снять хук в SSDT?

prus New Member

steelfactor New Member

zoool New Member

prus New Member

zoool New Member

wasm_test wasm test user

2FED New Member

Войти или зарегистрироваться

Возможно ли снять хук в SSDT?

prus New Member

steelfactor New Member

zoool New Member

prus New Member

zoool New Member

wasm_test wasm test user

2FED New Member

Быстрый поиск