[原创]某神保护-编程技术-看雪-安全社区|安全招聘|kanxue.com

豆大

2021-10-29 19:23

13830

创建一个检测线程
这个某个检测用的线程
图片描述

剥离调试器
图片描述

创建回调保存回调一些字节码
图片描述

检测线程回调有没从外部HOOK和内部HOOK
图片描述

检测进程回调有没从外部HOOK和内部HOOK ![图片描述]

检测模块回调有没从外部HOOK和内部HOOK
图片描述

检测PspNotifyEnableMask是否==0xF 判断有没被人改了标志做了反监控行为
图片描述

线程OB回调监控,抹掉一些权限
图片描述

进程OB回调监控,有混淆,不过还是经典的抹除句柄权限
图片描述

进程回调
每当进程创建的时候记录一些进程ID 父进程ID 进程路径等 ,没看到有使用的地方

图片描述

看起来像没开发完的产品

图片描述 **

模块回调
也是普普通通的记录没看到有趣的东西
图片描述

线程回调
一个检测时间函数之后，返回值==0的话就会终结进程。
图片描述

检测内核调试器
图片描述

检测调试对象
图片描述

最后于 2021-10-29 19:25 被豆大编辑，原因： bug

收藏・14

免费・7

支持

最新回复 (2)
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 2 楼点个赞 2021-10-29 20:12 0
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 67 粉丝 4 关注私信	紫梦寒 3 楼看起来挺不错 2021-10-30 18:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

豆大

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 2 楼点个赞 2021-10-29 20:12 0
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 67 粉丝 4 关注私信	紫梦寒 3 楼看起来挺不错 2021-10-30 18:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复