YJX_Driver_017_需要具备的理论知识
Posted DebugSkill
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了YJX_Driver_017_需要具备的理论知识相关的知识,希望对你有一定的参考价值。
1、
需要具备的理论知识
A、了解SSDT结构
B、由SSDT索引号获取当前函数地址
C、如何获取索引号
D、获取起源地址 -- 判断SSDT是否被HOOK
E、如何向内核地址写入自己的代码
【178】打开 工具KernelDetective
对于内核NtOpenProcess函数,自己写 类似 sx.sys的话,需要哪些资料/思路:
我们要取得 当前地址/起源地址,若 当前地址 != 起源地址 ==> 说明 NtOpenProcess函数 被HOOK了,就要转到当前的地址(KernelDetective中的选项卡"系统服务描述表"中选中"NtOpenProcess"那一行-->右击-->转到当前地址-->此时KernelDetective就跳转到选项卡"反汇编"中),然后改写 它里面的内容(ZC: 就是改写当前地址/函数中的汇编代码)
【363】
2、
以上是关于YJX_Driver_017_需要具备的理论知识的主要内容,如果未能解决你的问题,请参考以下文章