ssdt安裝教程，ssdtsetupexe怎么安裝

發(fā)布時(shí)間：2023-10-13

1，ssdtsetupexe怎么安裝2，關(guān)于不用驅(qū)動(dòng)恢復(fù)ssdt3，大俠幫幫我吧4，360衛(wèi)士的主防預(yù)每用了1，ssdtsetupexe怎么安裝 雙擊打開安裝我是來看評(píng)論的
2，關(guān)于不用驅(qū)動(dòng)恢復(fù)ssdt 下載冰刃進(jìn)程管理。打開ssdt項(xiàng)目。右側(cè)ctrl全選，然后選擇恢復(fù)。
3，大俠幫幫我吧 大部分騰訊開發(fā)的網(wǎng)絡(luò)游戲用于測試系統(tǒng)安全的系統(tǒng)文件， 在電腦里搜索一下tessafe.sys 在別的騰訊游戲里找到 然后粘貼到c盤的system32下，如果發(fā)現(xiàn)不能，說是有同名的文件 粉碎原來的那個(gè)tessafe 然后再粘 再運(yùn)行 看看行不你的電腦不會(huì)是vista 64-bit的吧。這個(gè)游戲不支持64-bit電腦哦。重新安裝一個(gè)系統(tǒng)吧。搞定qq游戲系列（尋仙，dnf等等）驅(qū)動(dòng)保護(hù)tessafe.sys 1.用rku看一下ssdt和ssdtshadow，發(fā)現(xiàn)ssdt并沒有被hook，ssdtshadow hook了5個(gè)調(diào)用：ntuserbuildhwndlistntuserfindwindowexntusergetdcntusergetdcexntusergetforegroundwindow想也不用想，肯定是為了防止其他軟件找到他的窗口。解決方法：在tessafe加載前先加載自己的驅(qū)動(dòng)，備份這5個(gè)調(diào)用的地址，等tessafe加載后直接還原即可，或者直接用rku還原，tessafe并沒有在這里加效驗(yàn)，所以比較容易。2.既然ssdt沒有沒hook，那么肯定有inline hook，用windbg看一下，發(fā)現(xiàn)被inline hook的調(diào)用有如下幾個(gè)：ntreadvirtualmemory ntwritevirtualmemoryntopenprocess + 0x2xx call obopenobjectbypointer處ntopenthread + 0x1xx call obopenobjectbypointer處kiattachprocess解決方法：(1).ntreadvirtualmemoryntwritevirtualmemory這2個(gè)比較好解決，自己寫2個(gè)調(diào)用，實(shí)現(xiàn)這2個(gè)調(diào)用的頭10個(gè)字節(jié)，然后再跳轉(zhuǎn)到這2個(gè)調(diào)用頭10個(gè)字節(jié)后面的地址，再到ssdt表里把這2個(gè)調(diào)用地址改成我們自己的即可。(2).ntopenprocess + 0x2xxntopenthread + 0x1xx在tessafe加載前，先保存obopenobjectbypointer的地址（或者用mmgetsystemroutineaddress獲?。?，然后我們自己寫一段代碼，實(shí)現(xiàn)call obopenobjectbypointer頭n個(gè)字節(jié)（隨便自己）以及call obopenobjectbypointer，然后再jmp到call obopenobjectbypointer后面的代碼地址，如：push eaxpush dword ptr [ebp-38h]push dword ptr [ebp-24h]call obopenobjectbypointerjmp xxx然后在call obopenobjectbypointer前面n個(gè)字節(jié)處jmp到我們自制的代碼，這樣的話就算tessafe把call obopenobjectbypointer改成call到自己的函數(shù)，對(duì)我們也沒有作用了。 注意：直接還原代碼的話，勢必會(huì)藍(lán)屏。因?yàn)閠essafe對(duì)這個(gè)地址有代碼效驗(yàn)(3).kiattachprocess由于這個(gè)調(diào)用并沒有被導(dǎo)出，在ssdt表中也沒有他的地址。所以我們首先要獲取他的地址雖然它沒有被導(dǎo)出，但是調(diào)用它的另外一個(gè)調(diào)用keattachprocess卻是被導(dǎo)出了的，我們可以先用mmgetsystemroutineaddress獲取keattachprocess的地址，再通過keattachprocess + 0x41的call kiattachprocess來取得kiattachprocess的地址，然后直接還原它的代碼即可（tessafe并沒有對(duì)這里進(jìn)行代碼效驗(yàn)）。至此，tessafe的所有hook都已恢復(fù)完畢，這時(shí)用od附加游戲，發(fā)現(xiàn)od會(huì)突然停止。 其實(shí)，上面那些hook大部分人都已經(jīng)搞定，關(guān)鍵就是這最后一步，od停止的原因是他收不到調(diào)試消息了，因?yàn)閠essafe有一個(gè)線程不停的向peprocess->debugport 寫入null（0）。debugport其實(shí)就是debug_object的指針。unhook的方法多種多樣，稍微靈活變通下就能想出很多方法。程序我就不傳了，我相信這些分析比傳一個(gè)程序有用的多np和hs也都大同小異，自己寫系統(tǒng)調(diào)用，一樣過他以后我會(huì)介紹如果繞過np，以及hs的保護(hù)
4，360衛(wèi)士的主防預(yù)每用了 這個(gè)你可以下載360頑固木馬清理大全查殺 另外還可以用windows清理助手掃描 這連款都是不錯(cuò)的 你好 很高興能回答你的問題 建議下載金山系統(tǒng)急救箱 禁用可疑啟動(dòng)項(xiàng)和未知病毒后重新安裝360就可以了 回答完畢 謝謝 ！希望我的回答對(duì)你有所幫助 病毒木馬禁止了殺毒軟件，現(xiàn)在的病毒木馬多數(shù)是集團(tuán)性作戰(zhàn)，病毒最頭疼的是殺毒軟件，所以最先干掉的是殺毒軟，然后才能實(shí)現(xiàn)其它的想法，如盜號(hào)、破壞電腦。控制電腦等等 在安全模式下查殺！重啟電腦時(shí)--按f8--安全模式--打開殺毒軟件－－全盤查殺。！！ 安全模式下病毒木馬無法運(yùn)行，而殺毒軟件能運(yùn)行!!!在安全模式刪除更干凈，殺毒軟件查殺更徹底!!!!!! 病毒木馬的清除辦法是： 如果不行,重裝系統(tǒng)后不要點(diǎn)擊其它的盤符下載下面的工具來清理。。。1：先把下面的工具下載安裝后升級(jí)最新，接著進(jìn)入安全模式，2：用360安全衛(wèi)士里的木馬云查殺全盤掃描查殺，3：殺毒軟件全盤查殺，如果還有病毒殺毒軟件無法清除哪就用4：4:用windows清理助手、360頑固木馬專殺、貝殼木馬專殺、金山急救箱掃描修復(fù)。5：最后還是有刪除不掉的，用unlocker和超級(jí)巡警文件暴力刪除工具來強(qiáng)制刪除.6:重起電腦進(jìn)入正常模式下聯(lián)網(wǎng)用360頑固木馬全盤掃了一次，沒發(fā)現(xiàn)病毒，呵呵說明沒問題了!!!! 注：如果無法下載安裝打開殺毒軟件，請(qǐng)先下載windows清理助手、360頑固木馬專殺、貝殼木馬專殺、金山急救箱這四款工具，下載好后進(jìn)入安全模式再安裝，安裝后進(jìn)入全盤掃描 。 特別是windows清理助手，常用功能里的掃描清理，和高級(jí)功能的更多工具里可能會(huì)幫你解決問題。。。 掃描后一般的問題就已經(jīng)解決，然后再下載殺毒軟件。。 下載殺毒軟件時(shí)可以用360安全衛(wèi)士里的軟件寶庫下載360免費(fèi)殺毒即可。。下載安裝升級(jí)后進(jìn)入安全模式殺毒。。。 另注：360頑固木馬專殺一定得聯(lián)網(wǎng)才能查殺 解決辦法：推薦殺毒軟件(nod32 卡巴 江民 金山)1:360安全衛(wèi)士超強(qiáng)查殺版 http://www.#/down/soft_down3.html360安全衛(wèi)士超強(qiáng)查殺版是360殺毒和360安全衛(wèi)士的組合版本，是安全上網(wǎng)的“黃金組合”。不僅能利用360云查殺引擎殺掉網(wǎng)上新出現(xiàn)的未知木馬，還具備360殺毒完整的病毒防護(hù)體系，達(dá)到雙劍合璧、雙重保險(xiǎn)。360殺毒采用領(lǐng)先的病毒查殺引擎及云安全技術(shù)，不但能查殺數(shù)百萬種已知病毒，還能有效防御最新病毒的入侵。優(yōu)化的系統(tǒng)設(shè)計(jì)，對(duì)系統(tǒng)運(yùn)行速度的影響極小。 2:windows清理助手3.0　 下載地址： http://www.duote.com/soft/7513.html對(duì)流行木馬和ie彈廣告窗口等有奇效！！地址 http://www.arswp.com/download/arswp2/arswp2.rar簡要用法：掃描出來的東西，打勾，點(diǎn)清理即可（如提示重啟就重啟下電腦）. 3:使用360頑固木馬專殺查殺當(dāng)電腦感染木馬，如果不能運(yùn)行請(qǐng)改名：“asd”呵呵　下載地址： http://www.#/（360頑固木馬專殺一定得聯(lián)網(wǎng)才能查殺重啟電腦時(shí)--按f8--帶有網(wǎng)絡(luò)的安全模式--打開殺毒軟件－－全盤查殺。！！) 4: 用貝殼木馬專殺貝殼官方網(wǎng)站 下載地址： http://www.beike.cn/貝殼木馬專殺是綠色軟件，直接雙擊運(yùn)行就可以了 5: 用最新升級(jí)的金山急救箱可以解決你的問題。下載地址： http://labs.duba.net/jjx.shtml簡要用法：點(diǎn)掃描后，如果出現(xiàn)可以修復(fù)的項(xiàng)目，全選后，點(diǎn)修復(fù)即可。 6: 精選三款刪除工具1:冰刃 icesword 1.22 :這是一斬?cái)嗪谑值睦?注意事項(xiàng):行時(shí)不要激活內(nèi)核調(diào)試器下載地址： http://www.onlinedown.net/soft/53325.htm 2:unlocker是一個(gè)免費(fèi)的右鍵擴(kuò)充工具，當(dāng)用戶發(fā)現(xiàn)有文件或進(jìn)程無法刪除時(shí)，可以通過右鍵菜單中的“unlocker”進(jìn)行解鎖，不過它并非強(qiáng)制關(guān)閉的程序，而是以解除進(jìn)程與程序關(guān)聯(lián)性的方式進(jìn)行，因此不會(huì)造成數(shù)據(jù)丟失。以后當(dāng)你要?jiǎng)h除文件的時(shí)候，右鍵選擇unlocker 即可下載地址：　 http://www.newhua.com/soft/24732.htm 3:超級(jí)巡警文件暴力刪除工具　采用內(nèi)核技術(shù)刪除文件，能刪除運(yùn)行中文件或者被占用文件，可以用來查看文件被哪些程序占用，也可以在病毒分析中對(duì)一些頑固病毒木馬衍生文件的刪除。下載地址： http://www.duote.com/soft/13844.html[/color][/url] 不推薦使用的辦法！可能會(huì)對(duì)系統(tǒng)硬盤和數(shù)據(jù)等造成無法預(yù)測的損傷...如果上述辦法不管用就用這個(gè)辦法吧將磁盤進(jìn)行全盤格式化（包