ineverland 发表于 2010-3-12 12:12:16

请问版主有没有方法检测call address hook

期待HD不吝赐教

HoviDelphic 发表于 2010-3-12 22:22:29

你不是已经下载了PsNull的源码了吗?里面有,好好研究。

本网站最菜的人 发表于 2010-3-12 22:45:43

HoviDelphic 发表于 2010-3-12 22:53:29

建议楼主询问SYF大牛。

本网站最菜的人 发表于 2010-3-12 22:57:57

HoviDelphic 发表于 2010-3-12 23:03:58

本帖最后由 HoviDelphic 于 2010-3-13 01:11 编辑

SYF大牛的电话:+86-XXXXXXXX。
SYF大牛的QQ:去问“本网站最菜的人”。

ineverland 发表于 2010-3-13 13:13:02

行,我再看PsNull
看Rustock.c的这种inline hook 挺好用的。
我想要检查的话,还得跟文件镜像比较,重定位什么的。是吧?

HoviDelphic 发表于 2010-3-13 19:36:19

行,我再看PsNull
看Rustock.c的这种inline hook 挺好用的。
我想要检查的话,还得跟文件镜像比较,重定位 ...
ineverland 发表于 2010-3-13 13:13 http://www.m5home.com/bbs/images/common/back.gif


    基本如此

阿杰 发表于 2010-3-14 15:17:37

我写了这样的工具,你需要什么地址我可以帮助你HOOK

ineverland 发表于 2010-3-14 16:02:04

我写了这样的工具,你需要什么地址我可以帮助你HOOK
阿杰 发表于 2010-3-14 15:17 http://www.m5home.com/bbs/images/common/back.gif


最近非常不情愿的在做检测hook,呵呵。所以我想读文件恢复这个东西了。
这方面我没经验,call的地址,有相对地址和绝对地址两种吧。貌似相对地址不用重定位,绝对地址要x-imgbase+kernelbase这样改一下。不知道我的想法可行不,还有什么需要注意的地方,请阿杰赐教。

ineverland 发表于 2010-3-14 23:10:06

回复 9# 阿杰


    还有个问题请教,目前有什么做法bypass 拦截swapcontext检测进程的。我看网上有,但不知道怎么实现的。
页: [1]
查看完整版本: 请问版主有没有方法检测call address hook