首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
编程技术
发新帖
1
0
程序有检验,如何HOOK。
发表于: 2012-8-16 09:51
5169
程序有检验,如何HOOK。
泰国老大
2012-8-16 09:51
5169
不是API,是HOOK某一地址跳到我的模块中来,但是修改指令后程序会检测到;
大哥们给小弟个思路吧。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
8
)
bakurise
雪 币:
98
活跃值:
(79)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
196
粉丝
0
关注
私信
bakurise
2
楼
将其检测线程K掉, 或者找出检测方式在其中hijack掉
2012-8-16 10:22
0
泰国老大
雪 币:
351
活跃值:
(324)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
45
粉丝
0
关注
私信
泰国老大
3
楼
就是因为找不到
有没有更为主动的方法。
2012-8-16 10:33
0
玩命
雪 币:
7115
活跃值:
(639)
能力值:
(RANK:1290 )
在线值:
发帖
61
回帖
456
粉丝
75
关注
私信
玩命
31
4
楼
硬断点 内存访问权限异常
2012-8-16 10:46
0
泰国老大
雪 币:
351
活跃值:
(324)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
45
粉丝
0
关注
私信
泰国老大
5
楼
偶像啊。。感谢,前者太底层了搞不定;后者不是也要写一个CC吗,这样的跳转就检测不到了?我以为是检测它的主程序所有指令有没有被修改,我去试试看吧。
2012-8-16 11:22
0
泰国老大
雪 币:
351
活跃值:
(324)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
45
粉丝
0
关注
私信
泰国老大
6
楼
查了一点资料,有些疑问。
怎么保证int3跳到我的地址来啊,又如何在哪里地方安装seh?
好像不太行,它seh已经有安装了。
PS:带NP的游戏程序。
2012-8-16 13:13
0
玩命
雪 币:
7115
活跃值:
(639)
能力值:
(RANK:1290 )
在线值:
发帖
61
回帖
456
粉丝
75
关注
私信
玩命
31
7
楼
硬断点不底层你看下文章就好。 后者不是说INT3 是内存访问权限 例如 设置为不可读 或者 不可执行 然后接管 这样也不用修改指令。 不过后者有对齐操作 可能不会那么精准的在你设置的指令上停下。 不过也可以在异常接管函数中用判断指令异常地址是否是对应的目标地址解决。 不一定非要用seh SEH是线程级别的。 可以安装异常中断向量等。SEH也可以吖。 你安装自己的就会先执行你的了。
2012-8-16 13:27
0
liuyq
雪 币:
285
活跃值:
(16)
能力值:
( LV3,RANK:20 )
在线值:
发帖
24
回帖
1199
粉丝
0
关注
私信
liuyq
8
楼
告诉你,查到LoadLibrary,紧跟在后面就HOOK你要的函数,一般可以绕过自校验。还有,加入的int3不要放在函数开头,向后挪几个字节。
2012-8-16 15:46
0
yaneng
雪 币:
76
活跃值:
(55)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
135
粉丝
0
关注
私信
yaneng
9
楼
学习了,玩命的大侠
2012-8-16 16:28
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
泰国老大
5
发帖
45
回帖
10
RANK
关注
私信
他的文章
[求助]纯汇编实现快速内存搜索?
5128
怎么设置寄存器全局断点?
5082
似乎没有IE方面的调试资料呀??
4124
程序有检验,如何HOOK。
5170
科锐科锐,求伙伴。
2223
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部