向高手们求助…… 奇怪的hook…… 奇怪的“未知”……

magicwanyu

本来在疑难解答区发的帖子，有网友回复说辅助区高手众多，让我来这边求助。所以俺就抱着希望来这里请教各位了…… 还望各位大侠多多帮助哈~ 感激不尽~




冰刃和其他SSDT分析工具 都分析出了hook 但是就是找不到对应的文件……  囧啊



一共5个“未知”。我知道daemon tools的sptd.sys会hook，还有毛豆的cmdguard.sys会hook，但是这个unknown是什么东东啊……  晕倒…… 我机子里没几个安全软件，我想了一下，还是想不到我安装的软件里有哪个会hook……

这5个未知的hook使用任何工具恢复，都没有效果……

用XueTr分析，结果发现了更多“未知模块”：
这个是SSDT里面的：


这个是FSD，本来有40个被hook……用XT恢复了其余的，剩下的这11个恢复不了……而且重启之后，又变成40个了：


还有系统中断表：


使用软件自带的恢复功能，还是无法恢复……
只好在这里像各位请教了……

我知道有的安全软件也会hook  我的系统里装有ESS 4.0 难道是这个……



补充说明：
感谢楼下各位朋友的回答。但是：
1.我安装了daemon tools，但是sptd.sys的hook能显示出名字。能显示出名字的，我都没有截图。只有显示“未知”的，我截图了…… 难道这些“未知”也是DT干的？
2.我没有安装毛豆，只是看以前网友的帖子说过毛豆也会hook，所以在文中提了一下。
3.我安装的hips软件，同样能显示出名字。我截图的都是显示“未知”的……难道安全软件在一部分hook中显示自己的名字，另一部分不显示？

[ 本帖最后由 magicwanyu 于 2009-10-6 09:16 编辑 ]

小v可

应该是ESS！

FinalTheory

哪有杀软不挂钩子的啊。。。我没见过。。。

Beloved

NtOpenProcess，启动进程

NtOpenThread，启动线程

NtSuspendThread，挂起线程

NtTerminateThread，终止线程


想想自己装的软件，有哪些可以对这些进行控制的，就是哪个 hook 的、、、、、、、
多数是 hips 类软件

楼主不妨说下自己装了哪些安全软件

Beloved

如果楼主用的有 comodo 的话，那么可能是comodo hook 的了

comodo 好像可以自动恢复被清除的 hook （听说）

dl123100

仍然是sptd.sys

Beloved

原帖由 dl123100 于 2009-10-5 21:45 发表 仍然是sptd.sys

DT hook 那些干什么 ？

dl123100

原帖由 Beloved 于 2009-10-5 21:53 发表




DT hook 那些干什么 ？

sptd要对付的是StarForce、SecureROM、CloneCD之类的变态反拷贝程序，不hook怎么做到隐藏自己，功能不被干扰？

MarkovChain

正解

Beloved

记得 庖马解丁 那篇文章说过，DT 有些 萎缩

好像说的是 采用 了 hook 保护 spdt.sys 不被删除

大概就这意思吧



难道就是这些、、、、