ZUDN

摘要： 已经把代码附上了….以前的没什么修改,在搜索特征码时没有在非分页内存搜.可能会蓝屏,不过你应该做下适当修改–sysnap之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导出的函数,这个会了,基本什么函数都会hook,呵呵,先看下它的定义吧NTSTAT 阅读全文

摘要： 网上很多hook代码，尤其是Obxxxxxx系列函数，它们很邪恶，一旦hook得好，可如入无人之境，这点我深有体会啊，但是同时它们调用频繁，比如ObReferenceObjectByxxxxxx，基本上windows的每一个操作，都会调用它。比如就简单的一个双击一下记事本，ObReferenceObjectByxxxxxx已经被调用了，所以在进行hook的时候，如果功力不深，就容易造成BSOD。一般如果是我在动这些蛋糕的时候，我都会注意如下几个方面：1，一个强大的汇编引擎，一个强大的引擎必不可少2，#pragma LOCKEDCODE3， CurrentIRQL = KeGetCurrentI 阅读全文