关于对抗获取SSDT地址的一点想法
2012-07-12 10:31
239 查看
分析某样本的时候我发现此样本中某函数是通过重定位表获取SSDT表RVA的,其中某段代码会检测ntkrnlpa.exe IMAGE_FILE_HEADER中的chracteristic是否有relocation stripped属性,如果有则直接返回。据此,我们是否可以把ntkrnlpa.exe添加上relocation stripped属性,添加上这个属性的话,该文件的checksum值肯定会变化,还得刷新下checksum值。然后注册一个关机回调,等到关机的时候再把ntkrnlpa.exe的relocation stripped属性去掉,把原来的checksum值写入。
相关文章推荐
- 关于stat函数和根据st_mode 的值获取目标文件的文件类型和用户权限,及对相关系统宏的一点想法
- 从Google Analytics得到的一点启发和想法, 关于(类)实时数据统计和报表.
- 关于REST的一点想法
- 关于web程序设计的一点想法
- 关于android中获取mac地址的
- 关于产品与数据该如何结合的一点想法(一)
- 关于《关于一道C#上机题的一点想法》
- 517A - 关于浮点小数与定点小数的一点自己想法
- 关于REST的一点想法,欢迎大家讨论。
- 关于公司网管职位的一点想法:不是民工打杂的
- 关于用户角色权限的一点想法(RBAC)
- 内核层获取SSDT中函数原始地址
- 关于android@home的一点想法
- 关于PDF文件加密器内存截取虚拟文件的一点想法
- 关于“数组指针”的一点想法
- 关于android设备wifi-mac地址的获取
- 关于APP自动化工程的一点小想法
- 关于Java的一些NIO框架的一点想法
- 关于封装的一点想法
- 关于Miller-Rabbin的一点想法