首页
社区
课程
招聘
[原创]QQ电脑管家中的TsFltMgr Hook框架分析
发表于: 2012-2-6 17:43 35900

[原创]QQ电脑管家中的TsFltMgr Hook框架分析

2012-2-6 17:43
35900
收藏
免费 6
支持
分享
最新回复 (46)
雪    币: 412
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
26
应该是你说的这个.
2012-2-7 10:49
0
雪    币: 636
活跃值: (174)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
27
那为什么不先jmp再nop?
2012-2-7 10:52
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
28
NO还素没人猜出来
2012-2-7 11:14
0
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
29
那就请作者说出整体框架啦~
2012-2-7 11:23
0
雪    币: 213
活跃值: (147)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
mark,讨论比帖子更有意思了:)
2012-2-7 14:16
0
雪    币: 60
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
学习mark....
2012-2-14 14:09
0
雪    币: 88
活跃值: (61)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
不知道为什么有三个nop?

xpsp3下u一下nt!KiFastCallEntry+0xe8
2012-2-14 18:22
0
雪    币: 636
活跃值: (174)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
33
Sysnap问的是,这里故意留出3个nop的好处(比如为什么不是jmp nop nop nop)

不过现在已经搞清楚啦!
2012-2-14 21:12
0
雪    币: 492
活跃值: (53)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
34
搞清楚了?说说看呢。。。
2012-2-15 09:19
0
雪    币: 636
活跃值: (174)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
35
跟Hook安全性有关,能保证在某个低概率事件发生时不出错
2012-2-15 16:04
0
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
mark一下,顶顶顶
2012-2-15 16:31
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
是不是jmp指令太长,怕别的线程执行原来KiFastCallEntry第一个指令后,函数被hook了,第二个指令地址在jmp指令中间,然后出错崩溃。
2012-2-20 18:24
0
雪    币: 69
活跃值: (242)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wmg
38
3个NOP保安全?
2012-6-10 15:16
0
雪    币: 1689
活跃值: (379)
能力值: ( LV15,RANK:440 )
在线值:
发帖
回帖
粉丝
39
是不是用于特征识别的?
2012-6-10 23:08
0
雪    币: 80
活跃值: (87)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
push edi                    // 本次系统调用对应的SysCall Table的地址(SSDT或SSDTShadow的地址)

三个nop真相在此吧。
2012-8-24 17:00
0
雪    币: 82
活跃值: (291)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
。。。。理解错误,没注意看
2012-8-25 10:51
0
雪    币: 14
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
3个nop是不明白的,
jmp需要5个字节,本来下面6个字节的指令改成一个nop + 一个jmp是足够的。
为什么要把前面两个也nop掉呢,
假如,前面360已经hook了,
那么加上两个nop后会发现连续13个指令被修改。
很多AntiRootkit软件(如xuetr)检测内联钩子时都是对比连续指令的。
这样检测结果表面上看只会发现是360的钩子。
2012-8-28 17:32
0
雪    币: 785
活跃值: (2358)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
43
占位学习  。
2012-11-23 04:02
0
雪    币: 785
活跃值: (2358)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
44
占位学习123456
2012-11-23 04:03
0
雪    币: 938
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
哪有框架一说?
这样的Hook代码都有框架?
纯扯淡,无任何亮点
2012-11-23 10:02
0
雪    币: 229
活跃值: (508)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
46
所谓的神马n个nop 无非就是4 or 8个字节对齐,直接使用Interlocked***系列函数罢了
你们搞的真神秘~
2012-11-24 12:06
0
雪    币: 2443
活跃值: (464)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
47
谢谢,收藏了。。
2012-11-24 21:15
0
游客
登录 | 注册 方可回帖
返回
//