[求助]卸载HOOK-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]卸载HOOK 0.00雪花

发表于: 2012-3-28 16:01 1317

[旧帖] [求助]卸载HOOK 0.00雪花

nosaybye

2012-3-28 16:01

1317

个人理解对某一地址hook，不关是采用什么方法实现跳转的,jmp,call,push+ret等等，都会走入一个ILHOOK函数

static __declspec(naked) ILHOOK()
{
__asm
{
pushad
pushfd
push esp
call INILHOOK
popfd
popad

}
}

在我清理该hook的时候，怎么能保证，ILHOOK没有线程执行在里面？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (2)
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 2 楼如果是应用层可以先挂起其他线程，查看其他每个线程的EIP在不在这范围之内如果在的话就先跑一会再挂起如果是R0 把IRQL提高到DPC级别然后Unhook，但是这样不能保证其他线程EIP是否在这里面，不能从根本上杜绝。 R0暂时想不到好的处理方案。所以R0做inline钩子最好是用原子操作修改call地址这样最保险 2012-3-28 16:31 0
nosaybye 雪币： 8 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 94 粉丝 0 关注私信	nosaybye 3 楼所以R0做inline钩子最好...[/QUOTE] 这句话应该怎么理解啊？ interlocakexchage么？ 2012-3-29 06:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nosaybye

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 2 楼如果是应用层可以先挂起其他线程，查看其他每个线程的EIP在不在这范围之内如果在的话就先跑一会再挂起如果是R0 把IRQL提高到DPC级别然后Unhook，但是这样不能保证其他线程EIP是否在这里面，不能从根本上杜绝。 R0暂时想不到好的处理方案。所以R0做inline钩子最好是用原子操作修改call地址这样最保险 2012-3-28 16:31 0
nosaybye 雪币： 8 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 94 粉丝 0 关注私信	nosaybye 3 楼所以R0做inline钩子最好...[/QUOTE] 这句话应该怎么理解啊？ interlocakexchage么？ 2012-3-29 06:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复