搜索资源列表
PEHOOK
- 可以实现PE HOOK。这种方法对于拦截、分析其他内核驱动的函数调用来说用的比较多。原理是根据替换 PE 格式导出表中的相应函数来实现的。 -Can achieve PE HOOK. This method for the interception, analysis of other core-driven function call is used more. The principle is based on PE format to export table to replace t
LoadDriver
- 另类方法加载驱动,利用ntdll.dll导出函数ZwSetSystemInformation-Alternative method to load the driver, use ntdll.dll export function ZwSetSystemInformation
RING0INLINEHOOK
- RING0下的恢复所有模块导出函数的INLINE HOOK驱动-RING0 restore all modules under the derived functions INLINE HOOK-driven
Detect_EAT_HOOK
- 检查内核中是否存在EAT挂钩。在应用层通过VB获得内核模块的导出函数名及真实地址,然后与内存地址相比较。若不同,则恢复。-EAT check whether there is linked to the kernel. VB obtained at the application layer through the kernel module exported function names and real addresses, and then compared with the memory
rent
- 一半抄A盾,一半抄GalaxyAP,扣了A盾的内核重载,抄了GalaxyAP(游戏反调试框架)的自实现异常 vs2010+wdk7600编译通过 思路:内核重载就不说鸟,GalaxyAP自实现异常就是从PDB获取未导出函数 然后重写异常函数,inline hook到自己写的函数里面 debugport的判断再hook一把到自己的判断函数里面。 断断续续抄了很久,实在写不下去了,发上来希望对还在过游戏驱动里的娃 有所帮助,也算是这份代码的一点点贡献。属于半路出家
CreateDll
- 2个工程,动态链接库的创建、引用。包括变量、函数、类的导入导出。-The 2 project, create a dynamic link library, reference. Including the import and export of variables, functions, classes.
WRK1.2
- 1. 【WindowsResearchKernel-WRK1.2.rar】 应该直接使用命令行方式编译 WRK-v1.2,假设解压出来的放置在 D:\WRK-v1.2 下,并编译成x86方式,打开一个cmd: set arch=x86 [或者选择 amd64] path D:\WRK-v1.2\tools\x86 path cd D:\WRK-v1.2\base\ntos nmake -nologo x86= 约1-2分钟,编译出的内核文件在 D:\WRK
SDT_UnHook_Code
- 通过读取ntoskrnl.exe文件的导出函数API相对虚拟地址,找到ntoskrnl.exe在内存中的基地址,计算各个API真正的起始地址,比较SSDT表中对应的API地址,不同则去掉SSDT钩子的驱动代码-First,the driver code acquires the RVA of APIs the export table of ntoskrnl.exe.Second,program acquires the base address of ntoskrnl.exe loaded