请问版主有没有方法检测call address hook

ineverland · 发表于 2010-3-12 12:12:16

期待HD不吝赐教

HoviDelphic · 发表于 2010-3-12 22:22:29

你不是已经下载了PsNull的源码了吗？里面有，好好研究。

显示全部楼层 · 发表于 2010-3-12 22:45:43

提示: 作者被禁止或删除内容自动屏蔽

HoviDelphic · 发表于 2010-3-12 22:53:29

建议楼主询问SYF大牛。

显示全部楼层 · 发表于 2010-3-12 22:57:57

提示: 作者被禁止或删除内容自动屏蔽

HoviDelphic · 发表于 2010-3-12 23:03:58

本帖最后由 HoviDelphic 于 2010-3-13 01:11 编辑

SYF大牛的电话：+86-XXXXXXXX。
SYF大牛的QQ：去问“本网站最菜的人”。

ineverland · 发表于 2010-3-13 13:13:02

行，我再看PsNull
看Rustock.c的这种inline hook 挺好用的。
我想要检查的话，还得跟文件镜像比较，重定位什么的。是吧？

HoviDelphic · 发表于 2010-3-13 19:36:19

行，我再看PsNull
看Rustock.c的这种inline hook 挺好用的。
我想要检查的话，还得跟文件镜像比较，重定位 ...
ineverland 发表于 2010-3-13 13:13

基本如此

阿杰 · 发表于 2010-3-14 15:17:37

我写了这样的工具，你需要什么地址我可以帮助你HOOK

ineverland · 发表于 2010-3-14 16:02:04

我写了这样的工具，你需要什么地址我可以帮助你HOOK
阿杰发表于 2010-3-14 15:17

最近非常不情愿的在做检测hook，呵呵。所以我想读文件恢复这个东西了。
这方面我没经验，call的地址，有相对地址和绝对地址两种吧。貌似相对地址不用重定位，绝对地址要x-imgbase+kernelbase这样改一下。不知道我的想法可行不，还有什么需要注意的地方，请阿杰赐教。

ineverland · 发表于 2010-3-14 23:10:06

回复 9# 阿杰

还有个问题请教，目前有什么做法bypass 拦截swapcontext检测进程的。我看网上有，但不知道怎么实现的。

账号		自动登录	找回密码
密码			加入我们

本网站最菜的人该用户已被删除	发表于 2010-3-12 22:45:43 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
本网站最菜的人该用户已被删除
	回复举报

本网站最菜的人该用户已被删除	发表于 2010-3-12 22:57:57 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
本网站最菜的人该用户已被删除
	回复举报