简单教你杀掉IceSword-操作技巧--黑客文讯--广西安全网络

黑客文章黑客下载

简单教你杀掉IceSword

作者：佚名来源：不详更新：2008-7-30 0:41:45 　点击：

此文为学习《Rootkit...》以及 SSDT Hook的妙用－对抗ring0 inline hook 后的成果。按照SSDT Hook的妙用－对抗ring0 inline hook 里说的，IceSword inline Hook 了 NtOpenProcess() 函数，但是当我自己写出代码的时候怎么也无法成功关闭IceSword，后来经过调试才发现我的 IceSword 在Hook了 NtOpenProcess() 函数的同时也 Hook 了 NtTerminateProcess() 函数，而且也是 inline Hook，不过由于在数 NtTerminateProcess() 在SSDT中的偏移的时候范了个错误，导致花了整整一天才得以发现，真是累人啊。

代码基本上和 SSDT Hook的妙用－对抗ring0 inline hook 一文很相似，只是增加了 Hook NtTerminateProcess() 的部分。在写 Hook NtTerminateProcess() 时也碰到了个问题：不知道怎么得到 NtTerminateProcess() 的地址。我这里是保持 SSDT 的内容来实现的，但是这种方式并不是很好，要是之前 SSDT 的内容已经被修改过了怎么办呢？自己也找了相关资料，但是好像是通过扫描 NtTerminateProcess() 的特征码来实现的，不知道有没有更好的办法。

工程文件（包含我的IceSword版本，防止版本不一致导致的实验无法成功）请从这里下载，由于没有写驱动加载和结束IceSword的代码，所以测试时请先用其它工具加载驱动，然后尝试在任务管理器里关闭IceSword。

转截请注明:来自广西安全网络 Http://www.gxfa.com

在百度搜索:简单教你杀掉IceSword相关文章
在Google搜索:简单教你杀掉IceSword相关文章
在雅虎搜索:简单教你杀掉IceSword相关文章

上一篇文章：读取IIS绝对路径错误的解救办法

下一篇文章：可执行文件的 MD5 同时运行出现

收藏到网摘: 加入QQ 加入雅虎百度收藏 Google书签 Yahoo书签新浪ViVi 加入收藏关闭窗口　返回顶部

数据载入中，请稍后……

合作伙伴

相关资讯

推荐资讯

热门资讯