ok100fen 发表于 2011-2-26 11:23:05

怎么能检测出被hook了?

当被屏蔽了一下“IceSword,Kernel Detective ,RKUnhooker,XueTr”工具的时候
我们怎么检测出哪个函数被hook了?

希望高手帮助~~

马大哈 发表于 2011-2-26 13:24:30

记得有一种检查HOOK的方法,就是先得到目标函数在库里的地址,再得到内存中函数的地址,不同的话就是被HOOK了.

另外还有改跳转的,那就是比较函数的头几个字节.....

ok100fen 发表于 2011-2-26 14:29:18

我的意思不是一个一个检测
能不能批量检测?

也就是说,在没加载的时候(即干净系统的所有函数)与被hook后的函数比较一下
这一点能不能做到?

Tesla.Angela 发表于 2011-2-26 15:23:23

回复 ok100fen 的帖子

老马不就是这个意思吗?
什么叫“批量检测”?加一个循环不就是批量检测吗?

ok100fen 发表于 2011-2-26 16:25:58

TA,怎么加循环?
大概说一下思路啊

3q

Tesla.Angela 发表于 2011-2-26 17:18:57

回复 ok100fen 的帖子

通过符号表遍历检测所有函数,包括未导出的。

ok100fen 发表于 2011-2-27 01:05:34

TA ,谢谢你拉
但你要给我代码

wxy_332 发表于 2011-3-9 12:26:32

DevilLiao 发表于 2013-1-8 23:48:29

遍历循环~~

飘在未来 发表于 2013-1-10 22:45:08

楼主真逗!能一个一个的检测还不能批量?
页: [1]
查看完整版本: 怎么能检测出被hook了?