首页
社区
课程
招聘
[求助]驱动层检测R3进程API有没有被hook
发表于: 2016-12-8 00:22 4574

[求助]驱动层检测R3进程API有没有被hook

2016-12-8 00:22
4574
如题,请问各位大神们,如何在驱动层检测R3的进程API有没有被hook?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 346
活跃值: (45)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
重载模块  根重载内核一样
2016-12-8 08:40
0
雪    币: 268
活跃值: (114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
ssdt hook可以比较ssdk原地址和当前地址。
2016-12-8 11:46
0
雪    币: 145
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
1.得到R3 API的当前地址.

2.内核中映射对应的DLL

3.对比内存中的API字节码与磁盘文件是否一致.
2016-12-12 12:00
0
雪    币: 522
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
记得很早以前坛子里就有文章了    自己搜搜吧
主要步骤就是 读PE对齐 重定位后  跟内存里的PE对比    一般只比对TEXT 和PAGE段   
IAT 部分 稍微处理一下就可以了
2016-12-12 17:09
0
游客
登录 | 注册 方可回帖
返回
//