能力值:
( LV4,RANK:50 )
|
-
-
2 楼
不要调LoadLibrary去LOAD DLL,自己手工LOAD, 这样就算文艺青年也要花点工夫了
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
LoadLibrary跟Hook有什么关系
|
能力值:
( LV3,RANK:30 )
|
-
-
4 楼
ring 3 能防住XT的人,还没出现。。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
被打击了 ,看样子只能起个定时器监视了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
XT恢复ring3钩子是用r0的方法?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
跟用Ring0还是Ring3是不搭噶的
你hook了-->修改了内存-->XT等读取了内存进行对比,发现了hook-->写内存恢复了(Ring0&Ring3都可以的)
你用线程不停重写hook-->od等设置内存写断点找到写内存处-->处理掉你的线程。。。
你再XXX-->别人也YYY
木有办法是hook了恢复不了滴。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
膜拜下大牛,要是我的客户能od + xt并用,我只能眼睁睁的看着了
做一定的防护~~,干掉一部分会用XT的用户就行了。。
看样子只能监视hook了,或者直接不让XT启动。。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
我用的一个办法,HOOK后把HOOK的地址读出来,后面在做对比,就可以了,发现了就XXX
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
不错,正丑没办法判断hook是否被恢复
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
设置100个Timer 让他搞吧
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
顺便把os也搞死了~
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
太专业了 咩是xt啊 给兄弟解释解释啊
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
Xuetr,@linxer
|
能力值:
( LV5,RANK:70 )
|
-
-
15 楼
进行hook,然后记录当前的代码状态.
后续检测到代码变化后,不可逆转的禁用功能.
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
当前代码状态 ,那是什么
不可逆转的禁用功能 ,还是不懂
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
比如发现hook被恢复了程序就不让使用任何功能,直到重启程序或者重启电脑
不过这个不是所有情况都适用,要看你程序是做什么用的。
我在这个论坛里潜水很多年了
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
处女帖啊~~,这个会不会太暴力啊,为什么不恢复hook?而是重启呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
你恢复来他恢复去,何时是尽头
|
能力值:
( LV15,RANK:520 )
|
-
-
20 楼
弄个线程,写个死循环,一直挂钩
|
能力值:
( LV4,RANK:50 )
|
-
-
21 楼
用设置硬件断点+异常处理(VEH)的方法吧,这样不改内存,再搞个antidbg啥的
不过最多hook4个点呢
|
能力值:
( LV4,RANK:50 )
|
-
-
22 楼
如果不怕麻烦,把要HOOK的代码页拷贝出来,把要HOOK的代码页设置为PAGE_GUARD,然后加VEH,然后异常的时候跳到copy出来的代码处执行,当然要处理复杂的重定位,这样HOOK的点就可以大于4个了,不过就麻烦了
这样不修改内存当然就查不出HOOK了代码了~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
无法学习只能膜拜。。。有软件是这样做的额嘛
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
实现简单,果然够猥琐
|
|
|