[原创]QQ电脑管家中的TsFltMgr Hook框架分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (46) ◀ 1 2
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 26 楼应该是你说的这个. 2012-2-7 10:49 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 27 楼那为什么不先jmp再nop？ 2012-2-7 10:52 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 28 楼 NO还素没人猜出来 2012-2-7 11:14 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 29 楼那就请作者说出整体框架啦~ 2012-2-7 11:23 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 30 楼 mark，讨论比帖子更有意思了:) 2012-2-7 14:16 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 31 楼学习mark.... 2012-2-14 14:09 0
zhych 雪币： 88 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	zhych 32 楼不知道为什么有三个nop? xpsp3下u一下nt!KiFastCallEntry+0xe8 2012-2-14 18:22 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 33 楼 Sysnap问的是，这里故意留出3个nop的好处（比如为什么不是jmp nop nop nop）不过现在已经搞清楚啦！ 2012-2-14 21:12 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 34 楼搞清楚了？说说看呢。。。 2012-2-15 09:19 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 35 楼跟Hook安全性有关，能保证在某个低概率事件发生时不出错 2012-2-15 16:04 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 36 楼 mark一下，顶顶顶 2012-2-15 16:31 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 37 楼是不是jmp指令太长，怕别的线程执行原来KiFastCallEntry第一个指令后，函数被hook了，第二个指令地址在jmp指令中间，然后出错崩溃。 2012-2-20 18:24 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 38 楼 3个NOP保安全？ 2012-6-10 15:16 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 39 楼是不是用于特征识别的？ 2012-6-10 23:08 0
iforgiven 雪币： 80 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 40 楼 push edi // 本次系统调用对应的SysCall Table的地址（SSDT或SSDTShadow的地址）三个nop真相在此吧。 2012-8-24 17:00 0
Aaah 雪币： 82 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 41 楼。。。。理解错误，没注意看 2012-8-25 10:51 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 42 楼 3个nop是不明白的， jmp需要5个字节，本来下面6个字节的指令改成一个nop + 一个jmp是足够的。为什么要把前面两个也nop掉呢，假如，前面360已经hook了，那么加上两个nop后会发现连续13个指令被修改。很多AntiRootkit软件（如xuetr）检测内联钩子时都是对比连续指令的。这样检测结果表面上看只会发现是360的钩子。 2012-8-28 17:32 0
pushmop 雪币： 775 活跃值： (2333) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	pushmop 43 楼占位学习。 2012-11-23 04:02 0
pushmop 雪币： 775 活跃值： (2333) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	pushmop 44 楼占位学习123456 2012-11-23 04:03 0
xssysing 雪币： 938 活跃值： (938) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 45 楼哪有框架一说？这样的Hook代码都有框架？纯扯淡，无任何亮点 2012-11-23 10:02 0
hatling 雪币： 229 活跃值： (503) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 46 楼所谓的神马n个nop 无非就是4 or 8个字节对齐，直接使用Interlocked***系列函数罢了你们搞的真神秘~ 2012-11-24 12:06 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 47 楼谢谢，收藏了。。 2012-11-24 21:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (46) ◀ 1 2
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 26 楼应该是你说的这个. 2012-2-7 10:49 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 27 楼那为什么不先jmp再nop？ 2012-2-7 10:52 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 28 楼 NO还素没人猜出来 2012-2-7 11:14 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 29 楼那就请作者说出整体框架啦~ 2012-2-7 11:23 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 30 楼 mark，讨论比帖子更有意思了:) 2012-2-7 14:16 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 31 楼学习mark.... 2012-2-14 14:09 0
zhych 雪币： 88 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	zhych 32 楼不知道为什么有三个nop? xpsp3下u一下nt!KiFastCallEntry+0xe8 2012-2-14 18:22 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 33 楼 Sysnap问的是，这里故意留出3个nop的好处（比如为什么不是jmp nop nop nop）不过现在已经搞清楚啦！ 2012-2-14 21:12 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 34 楼搞清楚了？说说看呢。。。 2012-2-15 09:19 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 35 楼跟Hook安全性有关，能保证在某个低概率事件发生时不出错 2012-2-15 16:04 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 36 楼 mark一下，顶顶顶 2012-2-15 16:31 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 37 楼是不是jmp指令太长，怕别的线程执行原来KiFastCallEntry第一个指令后，函数被hook了，第二个指令地址在jmp指令中间，然后出错崩溃。 2012-2-20 18:24 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 38 楼 3个NOP保安全？ 2012-6-10 15:16 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 39 楼是不是用于特征识别的？ 2012-6-10 23:08 0
iforgiven 雪币： 80 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 40 楼 push edi // 本次系统调用对应的SysCall Table的地址（SSDT或SSDTShadow的地址）三个nop真相在此吧。 2012-8-24 17:00 0
Aaah 雪币： 82 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 41 楼。。。。理解错误，没注意看 2012-8-25 10:51 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 42 楼 3个nop是不明白的， jmp需要5个字节，本来下面6个字节的指令改成一个nop + 一个jmp是足够的。为什么要把前面两个也nop掉呢，假如，前面360已经hook了，那么加上两个nop后会发现连续13个指令被修改。很多AntiRootkit软件（如xuetr）检测内联钩子时都是对比连续指令的。这样检测结果表面上看只会发现是360的钩子。 2012-8-28 17:32 0
pushmop 雪币： 775 活跃值： (2333) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	pushmop 43 楼占位学习。 2012-11-23 04:02 0
pushmop 雪币： 775 活跃值： (2333) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	pushmop 44 楼占位学习123456 2012-11-23 04:03 0
xssysing 雪币： 938 活跃值： (938) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 45 楼哪有框架一说？这样的Hook代码都有框架？纯扯淡，无任何亮点 2012-11-23 10:02 0
hatling 雪币： 229 活跃值： (503) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 46 楼所谓的神马n个nop 无非就是4 or 8个字节对齐，直接使用Interlocked***系列函数罢了你们搞的真神秘~ 2012-11-24 12:06 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 47 楼谢谢，收藏了。。 2012-11-24 21:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复