能力值:
( LV2,RANK:10 )
|
-
-
2 楼
up
牛牛们,抛点资料吧,没头绪...
|
能力值:
( LV5,RANK:60 )
|
-
-
3 楼
HOOK的话上肯定和原代码段有不同,这样的话肯定好检测了,防检测的方法是在检测线程上做手脚,做份假的让它查。
|
能力值:
( LV12,RANK:760 )
|
-
-
4 楼
no no no no no no 页管理机制有无穷乐趣,SPT充满激情,EPT让什么都不可信~
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
这个专业术语抛的太高了,仰望还是看不到边,来点通俗点的吧
我在传说中听到过有一种,就是被Hook的代码,执行的时候是hook的那份,而读取的时候是原来那份.应该和分页有关,就不知道具体原理,有参考资料么?
牛牛们,再给点提示 哈
|
能力值:
( LV3,RANK:30 )
|
-
-
6 楼
1:你的DLL起来后先把代码段拷贝出来
2:开启你的校验线程去读取程序的代码段。
3:然后按字节读取跟你之前备份的代码进行比较。
当然一个校验是不够的,存在效率问题,可以开多个校验线程,分段进行匹配。大致就是这个原理。校验API的话可以跟HOOK之前的代码进行匹配。
|
能力值:
( LV5,RANK:60 )
|
-
-
7 楼
强烈关注
|
能力值:
( LV6,RANK:80 )
|
-
-
8 楼
彭彭?
|
|
|