-
-
[旧帖] [求助]ring3 inline hook 检测 0.00雪花
-
发表于: 2012-9-7 17:08
-
各位大神:
做了一个简单inline hook检测:
判断 模块导出段指向的 函数地址 的前几个字节 跟 pe 文件 里面对应位置作比较
不过这样判会出现意外,比如: 模块导出了一类,类里面有个静态变量,这个变量也会在导出段
这时候 地址比较就会 不一样,有什么办法能够 比较精确判断出 是否被修改??
做了一个简单inline hook检测:
判断 模块导出段指向的 函数地址 的前几个字节 跟 pe 文件 里面对应位置作比较
不过这样判会出现意外,比如: 模块导出了一类,类里面有个静态变量,这个变量也会在导出段
这时候 地址比较就会 不一样,有什么办法能够 比较精确判断出 是否被修改??
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
