VX Z0ne

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://romio64.blogbus.com/logs/6182650.html

在用ATool检测文件系统挂钩的时候，有时候会出现显示被挂钩（红色高亮），但是却检测不出模块名称来。开始觉得很奇怪，用WinDbg看了一下HOOK后的地址：

lkd> u 85b0a1e8
85b0a1e8 8b542408        mov     edx,dword ptr [esp+8]
85b0a1ec 8d4c2404        lea     ecx,[esp+4]
85b0a1f0 50              push    eax
85b0a1f1 8bc4            mov     eax,esp
85b0a1f3 50              push    eax
85b0a1f4 6808a0b085      push    85B0A008h
85b0a1f9 b8f64942f7      mov     eax,0F74249F6h
85b0a1fe ffd0            call    eax

应该这一块是动态分配的内存，不属于任何一个模块，然后再call到真正的地址里去。实际上是做了一个间接的跳转。用内核模块功能看了一下地址0x0F74249F6是在sptd.sys这个驱动里面的，也就是说实际被HOOK到了sptd.sys这个内核模块里。