-
-
[讨论]检测HOOK 和反检测HOOK点
-
发表于: 2015-3-20 16:25
-
检测HOOK 和反检测HOOK点 怎么解决呢
通常我们检测HOOK 点 无非就是 jmp call push mov ret
还有软件断点 int 3
如一下汇编 检测E9 jmp call int3 软件断点
mov dword ptr [ebp-0x80], 0x7E0000
mov edx, [ebp-0x80]
sub eax, eax
mov al, [edx]
cmp eax, 0xE9
mov dword ptr [ebp-0x80], 0x7E0000
mov edx, [ebp-0x80]
sub eax, eax
mov al, [edx]
cmp eax, 0xE8
mov dword ptr [ebp-0x80], 0x7E0000
mov edx, [ebp-0x80]
sub eax, eax
mov al, [edx]
cmp eax, 0xCC
那问各位大神这样的汇编检测有什么办法反吗
1.再HOOK 其他位置 (这方法不给力 不治本)
2.把检测的汇编NOP掉(这方法不现实 动态执行和修改返回值以及返回校验)
3.硬件断点 硬件断点缺点 只可以下4个硬件断点 软件断点无限 但修改了汇编 有0xcc
4.iat写导入表 只可以改API 非API的HOOK 怎么办
通常我们检测HOOK 点 无非就是 jmp call push mov ret
还有软件断点 int 3
如一下汇编 检测E9 jmp call int3 软件断点
mov dword ptr [ebp-0x80], 0x7E0000
mov edx, [ebp-0x80]
sub eax, eax
mov al, [edx]
cmp eax, 0xE9
mov dword ptr [ebp-0x80], 0x7E0000
mov edx, [ebp-0x80]
sub eax, eax
mov al, [edx]
cmp eax, 0xE8
mov dword ptr [ebp-0x80], 0x7E0000
mov edx, [ebp-0x80]
sub eax, eax
mov al, [edx]
cmp eax, 0xCC
那问各位大神这样的汇编检测有什么办法反吗
1.再HOOK 其他位置 (这方法不给力 不治本)
2.把检测的汇编NOP掉(这方法不现实 动态执行和修改返回值以及返回校验)
3.硬件断点 硬件断点缺点 只可以下4个硬件断点 软件断点无限 但修改了汇编 有0xcc
4.iat写导入表 只可以改API 非API的HOOK 怎么办
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
