首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
您找到你想要的搜索结果了吗?
是的
没有找到

一次开发的意外逆向之旅

既然我们已经知道被替换函数的地址了,也知道被EAT挂钩的名称,那么我们接下来从这两点开始进行逆向,首先我们先去找找字符串信息,根据模块名称。 ? 3....我们先根据字符串找到对这个字符串引用的地址,很明显只有这一处,我们跟进去,结合上下文看到了很关键的一个函数ZwQuerySystemInformation,到这里其实有过内核开发经验的小伙伴们肯定已经猜到了这个函数就是在获取模块基地址...紧接着我们对其x进行调用分析,可以看到有两处,我们跟入第一处,很幸运的找到了直接找到了需要的函数,在这个函数里面我们可以看到大量的关键函数的字符串而我们的PsSetCreateProcessNotifyRoutine...也在其中,这个时候我们的第二条主线就排上用场了,我们可以看到下图中使用PsSetCreateProcessNotifyRoutine这个字符串的函数也引用了sub_4A504这个函数,而这个函数正是我们内核被挂钩

1.6K10

扫码

添加站长 进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

    运营活动

    活动名称
    广告关闭
    领券