首页
社区
课程
招聘
[求助]内存校验问题
发表于: 2012-12-2 20:38 5104

[求助]内存校验问题

2012-12-2 20:38
5104
请问内存校验具体是怎么做的,经常看到这个做法,但没碰到过.
比如我往一个进程注入一个dll,通过dll hook了原进程的一些API,那么对于进程来说该如何去检测代码被hook了?另外又是反内存校验一般又是怎么做的?请各位指教

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 126
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
up
牛牛们,抛点资料吧,没头绪...
2012-12-3 15:46
0
雪    币: 415
活跃值: (34)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
HOOK的话上肯定和原代码段有不同,这样的话肯定好检测了,防检测的方法是在检测线程上做手脚,做份假的让它查。
2012-12-3 15:56
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
4
no no no no no no 页管理机制有无穷乐趣,SPT充满激情,EPT让什么都不可信~
2012-12-3 16:30
0
雪    币: 126
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这个专业术语抛的太高了,仰望还是看不到边,来点通俗点的吧
我在传说中听到过有一种,就是被Hook的代码,执行的时候是hook的那份,而读取的时候是原来那份.应该和分页有关,就不知道具体原理,有参考资料么?
牛牛们,再给点提示 哈
2012-12-3 16:36
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
1:你的DLL起来后先把代码段拷贝出来
2:开启你的校验线程去读取程序的代码段。
3:然后按字节读取跟你之前备份的代码进行比较。

当然一个校验是不够的,存在效率问题,可以开多个校验线程,分段进行匹配。大致就是这个原理。校验API的话可以跟HOOK之前的代码进行匹配。
2012-12-5 16:50
0
雪    币: 297
活跃值: (120)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
7
强烈关注
2012-12-5 16:56
0
雪    币: 55
活跃值: (519)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
8
彭彭?
2012-12-5 17:06
0
游客
登录 | 注册 方可回帖
返回
//