关于超级按键驱动问题

yyk80238 · 发表于 2016-3-25 23:53:14

马上加入TC

您需要登录才可以下载或查看，没有帐号？立即注册

x

加载后有一个MATCH驱动这个驱动名一直不变会被检测

如何修改？是不是要开通VIP？

yyk80238 · 发表于 2016-3-26 00:16:10

就是如何动态加载？

如此美丽。 · 发表于 2016-3-26 02:31:23

本帖最后由如此美丽。于 2016-3-26 02:44 编辑

ZwQuerySystemInformation  做 inline hook

__asm
{
mov edi, edi
push ebp
mov ebp, esp
cmp dword ptr [ebp + 0x8], 0x11 // #define SystemModuleInformation 11
pop ebp
jnz ZwQuerySystemInformation + 0x5
mov eax, 0  // 返回成功
mov ecx, 0  // 数据清空
ret 10
}

爱的自.杀  再问供养

yyk80238 · 发表于 2016-3-26 12:15:53

如此美丽。发表于 2016-3-26 02:31
ZwQuerySystemInformation 做 inline hook

__asm

大神你确定能行吗

如此美丽。 · 发表于 2016-3-26 13:09:23

yyk80238 发表于 2016-3-26 12:15
大神你确定能行吗

隐藏驱动用的

yyk80238 · 发表于 2016-3-26 14:49:56

如此美丽。发表于 2016-3-26 13:09
隐藏驱动用的

谢谢

alanges · 发表于 2016-4-17 08:04:06

这个汇编如何弄进去啊

帐号		自动登录	找回密码
密码			立即注册

关于超级按键驱动问题

马上加入TC

推荐 /2