inlinehook系统的“SSDT”是什么？

inlinehook 时间:2021-07-14 阅读:()

xuetr是什么？

XueTr下载贴： /thread-384301-1-1.html 磁碟机病毒下载贴：/viewthread.php?tid=365919&extra=&page=1 运行磁碟机病毒，1分钟后，运行XueTr，提示有线程注入到XueTr了，对这种提示您一定要小心了，您的系统可能有问题了，如下图：

下载 (7.47 KB)

2009-2-16 13:10

点是干掉这个线程，磁碟机病毒会往每个进程里注入dnsq.dll模块，要安全卸载这个模块，初步需要注意两点： 1.这个模块是否启动线程 2.这个模块是否挂钩子磁碟机病毒模块很明显会启动线程(暂时称为”注入“线程)，你要把它结束掉，或者把这些注入的线程暂停了，由于磁碟机病毒会在自己线程被结束后，重启一个线程，因此这里选择暂停这些线程，下图显示了所有注入的XueTr的线程(另外一个常识就是：XueTr工具一般只有一个线程，而且你每次看线程的时候，线程状态为”正在运行“的那个线程就是XueTr的工作线程，其它的线程都可以干掉)：（由于我不太清楚磁碟机病毒的线程注入原理，因此对这种线程注入不知道咋防）

下载 (47.76 KB)

2009-2-16 13:10

暂停这些线程，然后扫描XueTr的钩子(钩子---->应用层钩子，我可以很自豪的说，XueTr目前提供了比较强大的应用层钩子检测能力)，扫描结果见下图：

下载 (15.63 KB)

2009-2-16 13:10

很明显磁碟机病毒挂了OpenProcess和EnumProcessModules两个函数，右键恢复它们俩， OK，现在您可以去安全的卸载注入到XueTr中的dnsq.dll了，见下图：

下载 (52.88 KB)

2009-2-16 13:10

到此为止，dnsq.dll已经被安全的卸载，XueTr的各项功能不受影响。

卸载其它进程里的模块，大致过程也是这样的。

另：XueTr新版已经具备一定的容错能力，您即使不恢复那两个钩子，程序也不会崩溃了，只是进程部分功能不好使。

XueTr(简称XT）是最近崛起的一款功能强大的Anti-Rootkit工具。

她于去年年末首发于卡饭辅助区，短短几个月，更新了数十个版本，已成为一款不输于IceSword、狙剑的杀毒利器。

她以稳定、兼容性强受到了很多坛友的欢迎。

可以说，本区的各位坛友一起见证了XT的成长。

在大家的关注下，XueTr的易用性也不断改善。

如果使用得当，可以完全摆脱SREng、AutoRuns等辅助工具，单用XueTr就可以搞定流行病毒。

下面以几个最近或曾经流行的病毒（多个样本同时运行）为例，分享一下我使用XueTr处理病毒的思路。

测试环境：VMWare+Windows XP SP2（由于实机运行部分样本蓝屏，或者效果不明显，采用虚拟机测试）。

为了体现XueTr的强大功能，清理过程尽量不使用其它辅助软件（如SREng、AutoRuns、Windows清理助手等），也不事先分析样本动作，只是在最后使用这些工具检查清理效果

手杀ev.exe过程

这个ev.exe是最近比较流行的网马。

它的查杀过程已经有很多高手研究过了，不过下面单用XueTr清理此病毒。

运行ev.exe，不干扰其运行。

几分钟后，病毒基本稳定了，不再出现生成物，运行XueTr，查看进程（见下图）。

下载 (79.05 KB)

2009-4-29 12:52

重启系统，运行XueTr，弹出线程注入提示

下载 (8.23 KB)

2009-4-29 12:52

选择是，杀掉注入线程。

打开界面后进一步检查查看XueTr线程信息，只有一个线程，XueTr未被注入线程。

下载 (64.77 KB)

2009-4-29 12:52

右键选择“在下方显示模块窗口”，发现XueTr被插入了一堆dll文件，删除并卸载注入的dll，防止干扰XueTr工作。

注:出现删除失败一般是由于文件不存在，XueTr卸载多个dll时有时会出现退出，这个很正常，再次运行即可.

C++实现inline hook，注入后程序异常退出

你要搞清楚一个概念，DLL被加载后地址是要重定位的，所有的全局变量、函数这些，都会随DLL加载的基址不同，地址会进行对应偏移的。

你WriteProcessMemory那句，往oldFunctionAddr地址写东西，肯定会引起异常的，谁知道被你hook的程序这个地址是啥东西？有没有分配过内存呢？你要往被注入进程写东西，就必须先用VirtualAllocEx申请内存，你一定要牢记这个概念，所有地址都是动态的，函数、全局变量只有偏移量是固定的。