1、
需要具备的理论知识
A、了解SSDT结构
B、由SSDT索引号获取当前函数地址
C、如何获取索引号
D、获取起源地址 -- 判断SSDT是否被HOOK
E、如何向内核地址写入自己的代码
【178】打开 工具KernelDetective
对于内核NtOpenProcess函数,自己写 类似 sx.sys的话,需要哪些资料/思路:
我们要取得 当前地址/起源地址,若 当前地址 != 起源地址 ==> 说明 NtOpenProcess函数 被HOOK了,就要转到当前的地址(KernelDetective中的选项卡"系统服务描述表"中选中"NtOpenProcess"那一行-->右击-->转到当前地址-->此时KernelDetective就跳转到选项卡"反汇编"中),然后改写 它里面的内容(ZC: 就是改写当前地址/函数中的汇编代码)
【363】
2、
原文:http://www.cnblogs.com/debugskill/p/5344691.html