[求助]PChunter里边有个扫描指定进程中所有钩子的功能，原理是什么？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼我也想知道。 2016-6-1 08:28 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 3 楼十年没怎么来了，发帖，回复，都不会操作了。。。。。真是老了 2016-6-1 08:33 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 4 楼很早很早以前弄过，现在忘光光了。。。。看样子pchunter扫描了进程中，所有相关的DLL，但是怎么分析出来这些DLL和钩子，消息有关呢？ 2016-6-1 08:39 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 5 楼你看，那里不是显示了挂钩处当前值，和挂钩处原始值吗？我推测，是不是读取原始文件，然后和内存映像进行比较，发现不同的地方，怀疑是否inline hook，然后读取不同的5个字节，进行反汇编，看看是否是jmp到其他模块的地址，然后判断是否inline hook。 2016-6-1 08:40 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 6 楼谢谢，很有道理，挂钩处当前值和原始值，是从哪里读来的呢？是 DLL 所在的空间里边读到的，还是从进程所对应的文件读到的？ ps，钩子的事情，现在我忘光了，还请各位具体指教啊 2016-6-1 08:47 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 7 楼刚才用od试了一下，好像正如你所说，另外我补充一下，过程应该是：先获取进程中所有相关的DLL，然后j将,进程中的DLL的内存值和原始DLL文件对应位置的值进行比较，如果出现不同，就说明此处被下钩子了，再根据被修改后的代码，其跳转的位置来判断，是inline还是其他的 2016-6-1 09:13 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 8 楼读取原始文件的代码段和内存中的代码段比较。 2016-6-1 10:27 0
appview 雪币： 738 活跃值： (3818) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 9 楼 mark 2016-6-1 14:44 0
sky际雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sky际 10 楼请问我从OD中查看CreateProcessInternalW这个函数，显示如图，并没有所谓的jmp，也没有挂钩处原始值和当前值。那么，请问，这两个数据要怎么看？怎么才能判断这个函数是被挂钩的？上传的附件：图片1.png （5.71kb，2次下载）图片2.png （2.59kb，3次下载） 2016-11-22 21:15 0
sky际雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sky际 11 楼我看到了数据，打开另外一个没有挂钩此函数的软件，就可以看到这里的挂钩处原始值了，对比一下，就是inline hook的挂钩改变上传的附件：图片1.png （3.74kb，3次下载） 2016-11-22 22:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼我也想知道。 2016-6-1 08:28 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 3 楼十年没怎么来了，发帖，回复，都不会操作了。。。。。真是老了 2016-6-1 08:33 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 4 楼很早很早以前弄过，现在忘光光了。。。。看样子pchunter扫描了进程中，所有相关的DLL，但是怎么分析出来这些DLL和钩子，消息有关呢？ 2016-6-1 08:39 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 5 楼你看，那里不是显示了挂钩处当前值，和挂钩处原始值吗？我推测，是不是读取原始文件，然后和内存映像进行比较，发现不同的地方，怀疑是否inline hook，然后读取不同的5个字节，进行反汇编，看看是否是jmp到其他模块的地址，然后判断是否inline hook。 2016-6-1 08:40 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 6 楼谢谢，很有道理，挂钩处当前值和原始值，是从哪里读来的呢？是 DLL 所在的空间里边读到的，还是从进程所对应的文件读到的？ ps，钩子的事情，现在我忘光了，还请各位具体指教啊 2016-6-1 08:47 0
filly 雪币： 225 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 50 粉丝 1 关注私信	filly 1 7 楼刚才用od试了一下，好像正如你所说，另外我补充一下，过程应该是：先获取进程中所有相关的DLL，然后j将,进程中的DLL的内存值和原始DLL文件对应位置的值进行比较，如果出现不同，就说明此处被下钩子了，再根据被修改后的代码，其跳转的位置来判断，是inline还是其他的 2016-6-1 09:13 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 8 楼读取原始文件的代码段和内存中的代码段比较。 2016-6-1 10:27 0
appview 雪币： 738 活跃值： (3818) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 9 楼 mark 2016-6-1 14:44 0
sky际雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sky际 10 楼请问我从OD中查看CreateProcessInternalW这个函数，显示如图，并没有所谓的jmp，也没有挂钩处原始值和当前值。那么，请问，这两个数据要怎么看？怎么才能判断这个函数是被挂钩的？上传的附件：图片1.png （5.71kb，2次下载）图片2.png （2.59kb，3次下载） 2016-11-22 21:15 0
sky际雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sky际 11 楼我看到了数据，打开另外一个没有挂钩此函数的软件，就可以看到这里的挂钩处原始值了，对比一下，就是inline hook的挂钩改变上传的附件：图片1.png （3.74kb，3次下载） 2016-11-22 22:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复