内核Hook检测
内核Hook检测只关注于被Hook了的内核函数,一般来说对应的模块提供者是一个.sys文件。
以划词搜索为例,它的驱动交叉保护(注册表HOOK及文件HOOK),自身的卸载与其它的卸载工具都不能删除hcalway.sys及abhcop.sys.sys文件(且卸载后这两个驱动还在运行中,所以,你无法直接删除这两个文件。
对付这样的系统底层驱动,可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是,大部份的杀软也注册有底层HOOK,如果你选择了它们,还原后至重启前这些杀软的实时监视将可能失效。
恢复系统底层原始函数地址后,就可以在服务管理页删除划词搜索的注册表服务项了(恢复前由于受其驱动abhcop.sys的保护,是无法删除其注册的服务项)。然后重启机器(系统无法删除一个运行中的文件,而划词的驱动又不停供停止功能,所以只能重启),就可以手动删除这两个文件了(当然也可以用内置的资源管理器中的<加入重启删除列表>功能,来代替手动删除的操作)。
由于底层Hook的优先级很高,所以恢复了SSDT后,可能会有一些隐藏的进程或文件会显示出来,故可以在恢复SSDT后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程,注册表项等。[img][/img]
