首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]IAT随便HOOK+反检测方法
发表于: 2011-10-15 04:42 20578

[原创]IAT随便HOOK+反检测方法

邓韬 活跃值
9
2011-10-15 04:42
20578

防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。
用法:

		HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);
		HookImage("NtTerminateProcess",(DWORD)MyNtTerminateProcess);
		HookImage("NtTerminateThread",(DWORD)MyNtTerminateThread);
		HookImport("KERNEL32.DLL","ExitProcess",(DWORD)MyNtTerminateProcess);
		RemoveImage("NtTerminateProcess");

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (15)
nekaxi
雪    币: 7386
活跃值: (4577)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
标记,以后学习,附检测内存块的代码:
BOOL TestRangeAddr(ULONG VirtualAddress,ULONG Size)
{
                ULONG Addr,i;
        if (VirtualAddress==0||Size==0)
        {
                return FALSE;
        }       
                Addr=VirtualAddress;
        Addr%=0x1000;
                i=Addr+Size+0x0FFF;
        VirtualAddress/=0x1000;
               VirtualAddress*=0x1000;
        i/=0x1000;
        while(TRUE==MmIsAddressValid(VirtualAddress))
        {
                i--;
                VirtualAddress+=0x1000;
                if(i<=0)
                        return TRUE;
        }
        return FALSE;
}
2011-10-15 11:03
0
tihty
雪    币: 27
活跃值: (127)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
3
邓韬周末还在整这些,也不出去 HAPPY一下
2011-10-15 11:33
0
xiejienet
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
第一段话就没看懂
读起来怎么就那么费劲呢?
2011-10-16 14:08
0
sunsjw
雪    币: 8777
活跃值: (5255)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
不错,学习了.
2011-10-16 19:13
0
雪妖
雪    币: 266
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
不错 强力mark
2011-10-17 11:13
0
robey
雪    币: 149
活跃值: (171)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
7
过来学习。。
2011-10-17 11:38
0
Nermor
雪    币: 138
活跃值: (475)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
8
~学习涛哥的hook
2011-10-23 11:32
0
moonflow
雪    币: 102
活跃值: (85)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
9
不错不错,
2011-10-23 11:57
0
jasonnbfan
雪    币: 949
活跃值: (18)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
10
mark 记录下
2011-10-24 12:36
0
gamefox
雪    币: 224
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
同感,LZ的文字狗屁不通,怎么语文就这么差呢
2011-10-24 17:31
0
邓韬
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
12
不知道你们理解没有,反正我是理解了。
2011-10-24 17:41
0
黑箜
雪    币: 93
活跃值: (41)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
13
.下载学习...
2011-10-24 18:30
0
tfzxyinhao
雪    币: 306
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
目标文件都修改了? 系统dll都修改 ?
2011-11-17 12:20
0
imdemon
雪    币: 53
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
2011-11-17 13:20
0
Nermor
雪    币: 138
活跃值: (475)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
16
while(TRUE==MmIsAddressValid(VirtualAddress))
{
i--;
VirtualAddress+=0x1000;
if(i<=0)
return TRUE;
}


方法不够猥琐的说。 而且不是很精准
2012-7-2 21:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//