楼主: zhq445078388
收起左侧

[原创工具] 【2012.07.24更新】内核 保护进程 + 结束进程

  [复制链接]
zhq445078388
 楼主| 发表于 2012-6-27 16:09:27 | 显示全部楼层
本帖最后由 zhq445078388 于 2012-6-27 16:15 编辑
zhoufeng 发表于 2012-6-27 15:38
ok.         dump文件传上来了,驱动不能启动 一点就蓝屏。


原因找到了
QQProtect驱动程序也hook了创建线程这里 是用的e9的jmp
我在保存原本函数时  实际保存到的是qq的这个jmp过程 而e9的跳 在变了位置时候必须改地址 不改地址 就会跳到指不定哪里去..
现在看起来是跳到qq这个驱动的31763地址去了 而QQ这个驱动显然不会这么大哈.3mb多 所以就跳空了 造成蓝屏


当然也有可能是qq是ssdt hook..所以保存5字节的方式不可行
cucook520
发表于 2012-6-27 16:20:10 | 显示全部楼层
敬仰敬仰
zhoufeng
发表于 2012-6-27 17:47:58 | 显示全部楼层
zhq445078388 发表于 2012-6-27 16:09
原因找到了
QQProtect驱动程序也hook了创建线程这里 是用的e9的jmp
我在保存原本函数时  实际保存到的 ...

那可以修复一下么   不然加载qq驱动的机子 都没法用啊
zhq445078388
 楼主| 发表于 2012-6-27 17:50:32 | 显示全部楼层
zhoufeng 发表于 2012-6-27 17:47
那可以修复一下么   不然加载qq驱动的机子 都没法用啊

看来下个版本优先解决智能hook的问题好了
zhoufeng
发表于 2012-6-27 18:02:36 | 显示全部楼层
zhq445078388 发表于 2012-6-27 17:50
看来下个版本优先解决智能hook的问题好了

嗯  期待更新
初学乍到
发表于 2012-6-30 00:01:44 | 显示全部楼层
楼主加油
neversayno0000
发表于 2012-6-30 08:23:59 | 显示全部楼层
支持技术牛
zhq445078388
 楼主| 发表于 2012-6-30 14:50:47 | 显示全部楼层
zhoufeng 发表于 2012-6-27 18:02
嗯  期待更新

抱歉 跳票了 刚更新了hook方法。。我突发奇想把ssdt hook去掉了3个 改成深层hook。。现在还木完成
zhq445078388
 楼主| 发表于 2012-7-3 14:35:45 | 显示全部楼层
zhoufeng 发表于 2012-6-27 17:47
那可以修复一下么   不然加载qq驱动的机子 都没法用啊

已经OK  这次更新加入了动态hook
天原
发表于 2012-7-3 19:17:34 | 显示全部楼层
特地来看看
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:34 , Processed in 0.092358 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表