摘要:
A盾的原理是在驱动加载时重载os内核,获取原始ssdt表的地址。应用层点击查询的代码在文件A-ProtectView.cpp中,每种点击操作调用相应的query查询函数,在query函数里ReadFile。读操作的Handle是A盾自定义的操作码,类似DeviceIoControl的控制码,比如ha... 阅读全文
posted @ 2014-02-24 15:19
vcerror
阅读(1009)
评论(0)
推荐(0)
摘要:
本帖最后由 shulun743 于 2014-1-24 12:27 编辑主要说32位系统:挂钩方式,现在常用的就是挂钩ssdt,shadown ssdt,inline hook挂钩文件系统过滤驱动和HOOK NT!KiFastCallEntry!不具体讨论HOOK和INLINE HOOK的区别了!就... 阅读全文
posted @ 2014-02-24 15:08
vcerror
阅读(237)
评论(0)
推荐(0)
浙公网安备 33010602011771号