标签: windows kernel
我想摆脱一个rootkit。但它挂钩了KeServiceDescriptorTable,因此我无法使用函数将其从注册表/ etc中删除。我需要获取原始nt *的地址绕过KeServiceDescriptorTable。我想通过计算偏移等来从ntoskrnl.exe文件中获取那些地址。这是一个好主意,还有我能做的吗?
我非常感谢你的帮助。
答案 0 :(得分:0)
使用GMER删除恶意服务,然后重新启动。