首页
社区
课程
招聘
[讨论]大家觉得这种api断点如何
发表于: 2014-2-17 10:50 4642

[讨论]大家觉得这种api断点如何

2014-2-17 10:50
4642

申请一块空间专门放跳转, 然后只在这块空间下断
就算把这个api从头到尾扫描了都找不出0xCC断点了

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 129
活跃值: (2768)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
。。。。。
2014-2-17 11:46
0
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
不明所以然,inlineHook不都是这样么?把要hook的地址的前5字节完整指令复制到新内存,然后再跳到后面,
为了线程安全.
2014-2-17 12:29
0
雪    币: 15
活跃值: (28)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
把断点下载inlinehook上面不让壳检测到
2014-2-17 13:01
0
雪    币: 167
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
想法不错,不过壳只检查int 3么?对于inline hook下的jmp没反应吗?不太了解之方面的东西.
2014-2-17 13:26
0
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
6
除了 int3  和 jcc  还有 push/pop  等等.
别人一般不会检测 0xcc 之类被修改的内容,
而是检测 0x8b 之类的原来的内容.
2014-2-17 14:38
0
雪    币: 15
活跃值: (28)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
0x8b只是函数头, 对于这种检测只要把断点放到函数中间就可以了
而且这种检测未必有效, 因为把函数hook的不一定是调试器
我系统里就有很多函数都被英伟达hook了
如果要检测0x8b的话肯定要运行不起来
2014-2-17 17:20
0
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
直接硬盘文件和内存对比
2014-2-22 07:14
0
游客
登录 | 注册 方可回帖
返回
//