[原创]QQ电脑管家中的TsFltMgr Hook框架分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (46) ◀ 1 2
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 2012-2-7 10:49 26 楼 0 应该是你说的这个.
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2012-2-7 10:52 27 楼 0 那为什么不先jmp再nop？
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 390 粉丝 9 关注私信	Sysnap 14 2012-2-7 11:14 28 楼 0 NO还素没人猜出来
熊猫正正雪币： 2321 活跃值： (4028) 能力值： ( LV12，RANK：530 ) 在线值：发帖 139 回帖 856 粉丝 125 关注私信	熊猫正正 9 2012-2-7 11:23 29 楼 0 那就请作者说出整体框架啦~
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 289 粉丝 1 关注私信	jasonzhou 2012-2-7 14:16 30 楼 0 mark，讨论比帖子更有意思了:)
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 2012-2-14 14:09 31 楼 0 学习mark....
zhych 雪币： 88 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	zhych 2012-2-14 18:22 32 楼 0 不知道为什么有三个nop? xpsp3下u一下nt!KiFastCallEntry+0xe8
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2012-2-14 21:12 33 楼 0 Sysnap问的是，这里故意留出3个nop的好处（比如为什么不是jmp nop nop nop）不过现在已经搞清楚啦！
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 38 回帖 270 粉丝 2 关注私信	fhurricane 1 2012-2-15 09:19 34 楼 0 搞清楚了？说说看呢。。。
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2012-2-15 16:04 35 楼 0 跟Hook安全性有关，能保证在某个低概率事件发生时不出错
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 2012-2-15 16:31 36 楼 0 mark一下，顶顶顶
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 2012-2-20 18:24 37 楼 0 是不是jmp指令太长，怕别的线程执行原来KiFastCallEntry第一个指令后，函数被hook了，第二个指令地址在jmp指令中间，然后出错崩溃。
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 2012-6-10 15:16 38 楼 0 3个NOP保安全？
hackerlzc 雪币： 1683 活跃值： (380) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 616 粉丝 14 关注私信	hackerlzc 10 2012-6-10 23:08 39 楼 0 是不是用于特征识别的？
iforgiven 雪币： 80 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 2012-8-24 17:00 40 楼 0 push edi // 本次系统调用对应的SysCall Table的地址（SSDT或SSDTShadow的地址）三个nop真相在此吧。
Aaah 雪币： 182 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 236 粉丝 0 关注私信	Aaah 2012-8-25 10:51 41 楼 0 。。。。理解错误，没注意看
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 66 粉丝 2 关注私信	Prochg 2012-8-28 17:32 42 楼 0 3个nop是不明白的， jmp需要5个字节，本来下面6个字节的指令改成一个nop + 一个jmp是足够的。为什么要把前面两个也nop掉呢，假如，前面360已经hook了，那么加上两个nop后会发现连续13个指令被修改。很多AntiRootkit软件（如xuetr）检测内联钩子时都是对比连续指令的。这样检测结果表面上看只会发现是360的钩子。
pushmop 雪币： 649 活跃值： (1673) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 205 粉丝 3 关注私信	pushmop 2012-11-23 04:02 43 楼 0 占位学习。
pushmop 雪币： 649 活跃值： (1673) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 205 粉丝 3 关注私信	pushmop 2012-11-23 04:03 44 楼 0 占位学习123456
xssysing 雪币： 910 活跃值： (838) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	xssysing 2012-11-23 10:02 45 楼 0 哪有框架一说？这样的Hook代码都有框架？纯扯淡，无任何亮点
hatling 雪币： 227 活跃值： (393) 能力值： ( LV10，RANK：170 ) 在线值：发帖 45 回帖 218 粉丝 5 关注私信	hatling 3 2012-11-24 12:06 46 楼 0 所谓的神马n个nop 无非就是4 or 8个字节对齐，直接使用Interlocked***系列函数罢了你们搞的真神秘~
飘云雪币： 2443 活跃值： (434) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 191 粉丝 8 关注私信	飘云 1 2012-11-24 21:15 47 楼 0 谢谢，收藏了。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (46) ◀ 1 2
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 2012-2-7 10:49 26 楼 0 应该是你说的这个.
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2012-2-7 10:52 27 楼 0 那为什么不先jmp再nop？
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 390 粉丝 9 关注私信	Sysnap 14 2012-2-7 11:14 28 楼 0 NO还素没人猜出来
熊猫正正雪币： 2321 活跃值： (4028) 能力值： ( LV12，RANK：530 ) 在线值：发帖 139 回帖 856 粉丝 125 关注私信	熊猫正正 9 2012-2-7 11:23 29 楼 0 那就请作者说出整体框架啦~
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 289 粉丝 1 关注私信	jasonzhou 2012-2-7 14:16 30 楼 0 mark，讨论比帖子更有意思了:)
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 2012-2-14 14:09 31 楼 0 学习mark....
zhych 雪币： 88 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	zhych 2012-2-14 18:22 32 楼 0 不知道为什么有三个nop? xpsp3下u一下nt!KiFastCallEntry+0xe8
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2012-2-14 21:12 33 楼 0 Sysnap问的是，这里故意留出3个nop的好处（比如为什么不是jmp nop nop nop）不过现在已经搞清楚啦！
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 38 回帖 270 粉丝 2 关注私信	fhurricane 1 2012-2-15 09:19 34 楼 0 搞清楚了？说说看呢。。。
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2012-2-15 16:04 35 楼 0 跟Hook安全性有关，能保证在某个低概率事件发生时不出错
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 2012-2-15 16:31 36 楼 0 mark一下，顶顶顶
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 2012-2-20 18:24 37 楼 0 是不是jmp指令太长，怕别的线程执行原来KiFastCallEntry第一个指令后，函数被hook了，第二个指令地址在jmp指令中间，然后出错崩溃。
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 2012-6-10 15:16 38 楼 0 3个NOP保安全？
hackerlzc 雪币： 1683 活跃值： (380) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 616 粉丝 14 关注私信	hackerlzc 10 2012-6-10 23:08 39 楼 0 是不是用于特征识别的？
iforgiven 雪币： 80 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 2012-8-24 17:00 40 楼 0 push edi // 本次系统调用对应的SysCall Table的地址（SSDT或SSDTShadow的地址）三个nop真相在此吧。
Aaah 雪币： 182 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 236 粉丝 0 关注私信	Aaah 2012-8-25 10:51 41 楼 0 。。。。理解错误，没注意看
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 66 粉丝 2 关注私信	Prochg 2012-8-28 17:32 42 楼 0 3个nop是不明白的， jmp需要5个字节，本来下面6个字节的指令改成一个nop + 一个jmp是足够的。为什么要把前面两个也nop掉呢，假如，前面360已经hook了，那么加上两个nop后会发现连续13个指令被修改。很多AntiRootkit软件（如xuetr）检测内联钩子时都是对比连续指令的。这样检测结果表面上看只会发现是360的钩子。
pushmop 雪币： 649 活跃值： (1673) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 205 粉丝 3 关注私信	pushmop 2012-11-23 04:02 43 楼 0 占位学习。
pushmop 雪币： 649 活跃值： (1673) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 205 粉丝 3 关注私信	pushmop 2012-11-23 04:03 44 楼 0 占位学习123456
xssysing 雪币： 910 活跃值： (838) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	xssysing 2012-11-23 10:02 45 楼 0 哪有框架一说？这样的Hook代码都有框架？纯扯淡，无任何亮点
hatling 雪币： 227 活跃值： (393) 能力值： ( LV10，RANK：170 ) 在线值：发帖 45 回帖 218 粉丝 5 关注私信	hatling 3 2012-11-24 12:06 46 楼 0 所谓的神马n个nop 无非就是4 or 8个字节对齐，直接使用Interlocked***系列函数罢了你们搞的真神秘~
飘云雪币： 2443 活跃值： (434) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 191 粉丝 8 关注私信	飘云 1 2012-11-24 21:15 47 楼 0 谢谢，收藏了。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复