紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 8183|回复: 9

怎么能检测出被hook了?

  [复制链接]

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
发表于 2011-2-26 11:23:05 | 显示全部楼层 |阅读模式
当被屏蔽了一下“IceSword,Kernel Detective ,RKUnhooker,XueTr”工具的时候
我们怎么检测出哪个函数被hook了?

希望高手帮助~~

272

主题

3284

帖子

1

精华

管理员

嗷嗷叫的老马

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
17043

论坛牛人贡献奖关注奖最佳版主进步奖人气王疯狂作品奖精英奖赞助论坛勋章乐于助人勋章

QQ
发表于 2011-2-26 13:24:30 | 显示全部楼层
记得有一种检查HOOK的方法,就是先得到目标函数在库里的地址,再得到内存中函数的地址,不同的话就是被HOOK了.

另外还有改跳转的,那就是比较函数的头几个字节.....
我就是嗷嗷叫的老马了......

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
 楼主| 发表于 2011-2-26 14:29:18 | 显示全部楼层
我的意思不是一个一个检测
能不能批量检测?

也就是说,在没加载的时候(即干净系统的所有函数)与被hook后的函数比较一下
这一点能不能做到?

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2011-2-26 15:23:23 | 显示全部楼层
回复 ok100fen 的帖子

老马不就是这个意思吗?
什么叫“批量检测”?加一个循环不就是批量检测吗?

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
 楼主| 发表于 2011-2-26 16:25:58 | 显示全部楼层
TA,怎么加循环?
大概说一下思路啊

3q

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2011-2-26 17:18:57 | 显示全部楼层
回复 ok100fen 的帖子

通过符号表遍历检测所有函数,包括未导出的。

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
 楼主| 发表于 2011-2-27 01:05:34 | 显示全部楼层
TA ,谢谢你拉
但你要给我代码
头像被屏蔽

0

主题

21

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
1430
发表于 2011-3-9 12:26:32 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

1

主题

61

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
122
发表于 2013-1-8 23:48:29 | 显示全部楼层
遍历循环~~

10

主题

102

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
381
发表于 2013-1-10 22:45:08 | 显示全部楼层
楼主真逗!能一个一个的检测还不能批量?
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-29 22:55 , Processed in 0.030943 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表