[求助]怎样才能保护自己的ring3hook不被别人轻易恢复-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]怎样才能保护自己的ring3hook不被别人轻易恢复

发表于: 2011-12-1 20:04 10014

[求助]怎样才能保护自己的ring3hook不被别人轻易恢复

MagicFuzzX 活跃值

2011-12-1 20:04

10014

我是好人，但是我的ring3 hook被普通青年用xt轻易秒杀了

，求助啊，有什么保护自己呢？开一个线程监视，觉得有点浪费资源

，求指点啊

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (23)
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼不要调LoadLibrary去LOAD DLL，自己手工LOAD，这样就算文艺青年也要花点工夫了 2011-12-1 21:59 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 3 楼 LoadLibrary跟Hook有什么关系 2011-12-1 22:03 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 4 楼 ring 3 能防住XT的人，还没出现。。。。。 2011-12-1 22:23 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 5 楼被打击了，看样子只能起个定时器监视了 2011-12-1 22:48 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 6 楼 XT恢复ring3钩子是用r0的方法？ 2011-12-1 22:52 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 7 楼跟用Ring0还是Ring3是不搭噶的你hook了-->修改了内存-->XT等读取了内存进行对比，发现了hook-->写内存恢复了(Ring0&Ring3都可以的) 你用线程不停重写hook-->od等设置内存写断点找到写内存处-->处理掉你的线程。。。你再XXX-->别人也YYY 木有办法是hook了恢复不了滴。。。 2011-12-1 23:22 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 8 楼膜拜下大牛，要是我的客户能od + xt并用，我只能眼睁睁的看着了做一定的防护~~，干掉一部分会用XT的用户就行了。。看样子只能监视hook了，或者直接不让XT启动。。 2011-12-1 23:28 0
野狼雪币： 5452 活跃值： (3217) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 0 关注私信	野狼 9 楼我用的一个办法，HOOK后把HOOK的地址读出来，后面在做对比，就可以了，发现了就XXX 2011-12-1 23:33 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 10 楼不错，正丑没办法判断hook是否被恢复 2011-12-1 23:35 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 11 楼设置100个Timer 让他搞吧 2011-12-1 23:35 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 12 楼顺便把os也搞死了~ 2011-12-1 23:37 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 13 楼太专业了咩是xt啊给兄弟解释解释啊 2011-12-2 09:36 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 14 楼 Xuetr,@linxer 2011-12-2 09:45 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 15 楼进行hook,然后记录当前的代码状态. 后续检测到代码变化后,不可逆转的禁用功能. 2011-12-2 13:54 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 16 楼当前代码状态，那是什么不可逆转的禁用功能，还是不懂 2011-12-2 14:00 0
子夜雪币： 152 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	子夜 17 楼比如发现hook被恢复了程序就不让使用任何功能，直到重启程序或者重启电脑不过这个不是所有情况都适用，要看你程序是做什么用的。我在这个论坛里潜水很多年了 2011-12-2 14:27 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 18 楼处女帖啊~~，这个会不会太暴力啊，为什么不恢复hook？而是重启呢？ 2011-12-2 14:28 0
子夜雪币： 152 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	子夜 19 楼你恢复来他恢复去，何时是尽头 2011-12-2 14:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 20 楼弄个线程，写个死循环，一直挂钩 2011-12-2 15:08 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 21 楼用设置硬件断点+异常处理(VEH)的方法吧，这样不改内存，再搞个antidbg啥的不过最多hook4个点呢 2011-12-3 00:45 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 22 楼如果不怕麻烦，把要HOOK的代码页拷贝出来，把要HOOK的代码页设置为PAGE_GUARD，然后加VEH，然后异常的时候跳到copy出来的代码处执行，当然要处理复杂的重定位，这样HOOK的点就可以大于4个了，不过就麻烦了这样不修改内存当然就查不出HOOK了代码了~~~~ 2011-12-3 12:03 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 23 楼无法学习只能膜拜。。。有软件是这样做的额嘛 2011-12-3 12:08 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 24 楼实现简单，果然够猥琐 2011-12-24 17:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

MagicFuzzX

发帖

400

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼不要调LoadLibrary去LOAD DLL，自己手工LOAD，这样就算文艺青年也要花点工夫了 2011-12-1 21:59 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 3 楼 LoadLibrary跟Hook有什么关系 2011-12-1 22:03 0
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 4 楼 ring 3 能防住XT的人，还没出现。。。。。 2011-12-1 22:23 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 5 楼被打击了，看样子只能起个定时器监视了 2011-12-1 22:48 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 6 楼 XT恢复ring3钩子是用r0的方法？ 2011-12-1 22:52 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 7 楼跟用Ring0还是Ring3是不搭噶的你hook了-->修改了内存-->XT等读取了内存进行对比，发现了hook-->写内存恢复了(Ring0&Ring3都可以的) 你用线程不停重写hook-->od等设置内存写断点找到写内存处-->处理掉你的线程。。。你再XXX-->别人也YYY 木有办法是hook了恢复不了滴。。。 2011-12-1 23:22 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 8 楼膜拜下大牛，要是我的客户能od + xt并用，我只能眼睁睁的看着了做一定的防护~~，干掉一部分会用XT的用户就行了。。看样子只能监视hook了，或者直接不让XT启动。。 2011-12-1 23:28 0
野狼雪币： 5452 活跃值： (3217) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 0 关注私信	野狼 9 楼我用的一个办法，HOOK后把HOOK的地址读出来，后面在做对比，就可以了，发现了就XXX 2011-12-1 23:33 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 10 楼不错，正丑没办法判断hook是否被恢复 2011-12-1 23:35 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 11 楼设置100个Timer 让他搞吧 2011-12-1 23:35 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 12 楼顺便把os也搞死了~ 2011-12-1 23:37 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 13 楼太专业了咩是xt啊给兄弟解释解释啊 2011-12-2 09:36 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 14 楼 Xuetr,@linxer 2011-12-2 09:45 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 15 楼进行hook,然后记录当前的代码状态. 后续检测到代码变化后,不可逆转的禁用功能. 2011-12-2 13:54 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 16 楼当前代码状态，那是什么不可逆转的禁用功能，还是不懂 2011-12-2 14:00 0
子夜雪币： 152 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	子夜 17 楼比如发现hook被恢复了程序就不让使用任何功能，直到重启程序或者重启电脑不过这个不是所有情况都适用，要看你程序是做什么用的。我在这个论坛里潜水很多年了 2011-12-2 14:27 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 18 楼处女帖啊~~，这个会不会太暴力啊，为什么不恢复hook？而是重启呢？ 2011-12-2 14:28 0
子夜雪币： 152 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	子夜 19 楼你恢复来他恢复去，何时是尽头 2011-12-2 14:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 20 楼弄个线程，写个死循环，一直挂钩 2011-12-2 15:08 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 21 楼用设置硬件断点+异常处理(VEH)的方法吧，这样不改内存，再搞个antidbg啥的不过最多hook4个点呢 2011-12-3 00:45 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 22 楼如果不怕麻烦，把要HOOK的代码页拷贝出来，把要HOOK的代码页设置为PAGE_GUARD，然后加VEH，然后异常的时候跳到copy出来的代码处执行，当然要处理复杂的重定位，这样HOOK的点就可以大于4个了，不过就麻烦了这样不修改内存当然就查不出HOOK了代码了~~~~ 2011-12-3 12:03 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 23 楼无法学习只能膜拜。。。有软件是这样做的额嘛 2011-12-3 12:08 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 24 楼实现简单，果然够猥琐 2011-12-24 17:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复