-
-
遇到个OD R3层检测,有没有道破天机的?
-
2014-12-10 16:13
-
最近遇到个OD 检测 ,检测OD的CPU汇编主窗口,内核下打印检测线程函数调用的
NtUserQueryWindow 和 CallNextHookEx,
CallNextHookEx 应该是用全局钩子来反 挂起线程后来 影响鼠标和键盘,因为有全局键盘和鼠标钩子, OD 主窗口的 style 和 exstyle 已经修改,各个名字也修改,但是还是被检测, 有朋友给了个OD 可以不倍检测,但是看了下OD主窗口几乎一点没修改,和原装OD一样,目前对这个检测百思不得其姐姐 ,求大神指点,保护只有应用层。(备注:OD不开CPU汇编窗口就不被检测,一打开就检测)CPU窗口样式 56CF0000 和扩展 140以前写过针对这样的检测,但是貌似这个检测不是用的这个。
NtUserQueryWindow 和 CallNextHookEx,
CallNextHookEx 应该是用全局钩子来反 挂起线程后来 影响鼠标和键盘,因为有全局键盘和鼠标钩子, OD 主窗口的 style 和 exstyle 已经修改,各个名字也修改,但是还是被检测, 有朋友给了个OD 可以不倍检测,但是看了下OD主窗口几乎一点没修改,和原装OD一样,目前对这个检测百思不得其姐姐 ,求大神指点,保护只有应用层。(备注:OD不开CPU汇编窗口就不被检测,一打开就检测)CPU窗口样式 56CF0000 和扩展 140以前写过针对这样的检测,但是貌似这个检测不是用的这个。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
你懂得
|
|
|
|
