我正在研究一个rootkit并对其进行反转。我打算为这种rootkit编写我的anti-rk。rootkit挂钩了一些无法从用户模式中解脱出来的内核模式函数,或者如果我将它们从用户模式中解开,它们不会逃脱并且会回来。那么你有什么建议呢?
问问题
1195 次
1 回答
2
有很多示例代码和开源项目可以做到这一点。您可以参考他们的来源以了解 SSDT 脱钩。几个例子:
https ://code.google.com/p/arkitlib/
https://code.google.com/p/oark/
于 2013-02-12T09:25:32.443 回答