-
-
[讨论]该不该使用ANTI―HOOK
-
发表于: 2006-3-11 09:31
-
原来老大们曾经讨论过现在的东西不对HOOK设防,使得使用注入破解很方便。于是我在外壳里对HOOK进行了限制,但现在发现即使ring3下的少量限制,如果要在正式的环境中使用也完全行不通,主要原因来自以下4方面:
1。流氓软件:具体是什么就不便多说了,这些软件一般是想钩谁就钩谁。但更关键的问题是现在的流氓软件比苍蝇还多,而且在分布范围比苍蝇大的多。数量上的优势让它们的影响绝对不容小视。
2。木马、病毒:比楼上的性质更恶劣,谁都不想碰上,但有些事情不可避免。我上网的时候总是开文件和注册表监控,下东西也都分析一下,所以一直觉得我不会中毒。但前段日子觉得上网卡,就检查了一下。结果发现有个东西把自己作成IE的插件,还用ASPR加壳,什么都查不出来。脱壳分析可以发现D的网络控件之类的东西,而且文件体积比较大,应该是个木马。虽然我现在也不明白这个木马是怎么进来的,但我已经不怀疑它的普遍性了。
3。杀毒软件:谁都惹不起的大地主,他要钩什么那你只好让道。但问题是我们那里知道那么多杀毒软件个有什么要求啊。而且杀毒软件的作风和领导差不多,政策说变就变,而且什么时候变都是对的。
4。网络游戏及其他:反外挂,于是乎......
以上只是我的一些简单认识,但实际情况中的问题应该是只多不少。使用ANTI―HOOK的副作用值得认真考虑。
1。流氓软件:具体是什么就不便多说了,这些软件一般是想钩谁就钩谁。但更关键的问题是现在的流氓软件比苍蝇还多,而且在分布范围比苍蝇大的多。数量上的优势让它们的影响绝对不容小视。
2。木马、病毒:比楼上的性质更恶劣,谁都不想碰上,但有些事情不可避免。我上网的时候总是开文件和注册表监控,下东西也都分析一下,所以一直觉得我不会中毒。但前段日子觉得上网卡,就检查了一下。结果发现有个东西把自己作成IE的插件,还用ASPR加壳,什么都查不出来。脱壳分析可以发现D的网络控件之类的东西,而且文件体积比较大,应该是个木马。虽然我现在也不明白这个木马是怎么进来的,但我已经不怀疑它的普遍性了。
3。杀毒软件:谁都惹不起的大地主,他要钩什么那你只好让道。但问题是我们那里知道那么多杀毒软件个有什么要求啊。而且杀毒软件的作风和领导差不多,政策说变就变,而且什么时候变都是对的。
4。网络游戏及其他:反外挂,于是乎......
以上只是我的一些简单认识,但实际情况中的问题应该是只多不少。使用ANTI―HOOK的副作用值得认真考虑。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
先说说你是如何 Anti HOOK 的.
|
|
|
对于壳的检测首字节,关键的使用代码模拟判断系统,并扫描到底。对于原程序的把开头部分的一些代码抽到壳里.本来这部分也想检测的,但会导致死机的几率大大增加,连我自己都不敢用了。
|
|
|
Anti HOOK 本身就是HOOK, Anti Anti HOOK 本身也是HOOK.
所以.是否存在Anti HOOK?
|
|
|
蛋蛋果然有深度,居然把看似简单的问题上升到哲学与辨证法的高度.我现在要去写份报告,我发现了高能物理学中的量子理论在现实中的完美体现.
|
|
|
|
|
|
前段时间看Themida,自己加载kernel32,user32,ntdll,advapi32,它hook它的,我用我的,是个不错的方法,而且避免了api下断
|
|
|
最初由 softworm 发布 快讲讲怎么自己加载的 
|
