[求助]如何扫描畸形HOOK?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼逐级扫描~~ 举个简单例子，比如 0xFFFFFFFF 是hook地址，然后判断0xFFFFFFFF这个地址的5字节，如果发现call，jmp之类，比如 call 0xFFFF0000，则继续取出跳转的地址0xFFFF0000，然后继续判断0xFFFF0000的5字节，如此循环~~ 2012-8-16 20:36 0
viphack 雪币： 219 活跃值： (793) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 3 楼老大这样子会不会漏比如他在地址地下在做手脚第一个Call为假的地址第二个CALL为真的。。我上次在一个BBS看到一个大牛这样子伪装过结果取出来的是假的地址面对这样子的问题那么多的ARK工具几乎都死~~~~ 我还有一个疑问： xuetr是如何判断call之类后面地址的有效性~~~~ 2.还有如果是call取call 那些大牛怎么做到伪装地址的~~~ 。。。。。。。。。。。。。。。。。。比如：call 123456789 123456789 call 987654321 真实地址为：987654321 而他的是 call 123456789 123456789 里面是他处理的处理后跳到 2222222 处理后 CALL 987654321 2012-8-16 21:06 0
viphack 雪币： 219 活跃值： (793) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 4 楼有点儿向UPX壳那样子绕死你跳来跳去 1.如果是一般人直接恢复他而喜欢找他真实地址的人只能借组一些辅助工具来找老大xuert 是怎么样找到真实地址的老是骗不了除了逐级扫描还有哪些办法。。。 2012-8-16 21:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 5 楼如果你要从多级跳转这方面下手，是骗不了xuetr的~~ 2012-8-16 21:20 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 6 楼正像二楼所说，n级跳的处理都是一样的，只是体力活……如果自带了反汇编器，都不需要费力递归去找了，让用户自己找就好了，这种直接比对bin的就算是XX级跳转都无济于事，一样检测 2012-8-16 21:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼逐级扫描~~ 举个简单例子，比如 0xFFFFFFFF 是hook地址，然后判断0xFFFFFFFF这个地址的5字节，如果发现call，jmp之类，比如 call 0xFFFF0000，则继续取出跳转的地址0xFFFF0000，然后继续判断0xFFFF0000的5字节，如此循环~~ 2012-8-16 20:36 0
viphack 雪币： 219 活跃值： (793) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 3 楼老大这样子会不会漏比如他在地址地下在做手脚第一个Call为假的地址第二个CALL为真的。。我上次在一个BBS看到一个大牛这样子伪装过结果取出来的是假的地址面对这样子的问题那么多的ARK工具几乎都死~~~~ 我还有一个疑问： xuetr是如何判断call之类后面地址的有效性~~~~ 2.还有如果是call取call 那些大牛怎么做到伪装地址的~~~ 。。。。。。。。。。。。。。。。。。比如：call 123456789 123456789 call 987654321 真实地址为：987654321 而他的是 call 123456789 123456789 里面是他处理的处理后跳到 2222222 处理后 CALL 987654321 2012-8-16 21:06 0
viphack 雪币： 219 活跃值： (793) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 4 楼有点儿向UPX壳那样子绕死你跳来跳去 1.如果是一般人直接恢复他而喜欢找他真实地址的人只能借组一些辅助工具来找老大xuert 是怎么样找到真实地址的老是骗不了除了逐级扫描还有哪些办法。。。 2012-8-16 21:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 5 楼如果你要从多级跳转这方面下手，是骗不了xuetr的~~ 2012-8-16 21:20 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 6 楼正像二楼所说，n级跳的处理都是一样的，只是体力活……如果自带了反汇编器，都不需要费力递归去找了，让用户自己找就好了，这种直接比对bin的就算是XX级跳转都无济于事，一样检测 2012-8-16 21:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复