请教有效的防止全局HOOK的方法-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2 楼最初由 bujin888* 发布* 写的一个软件，被人家HOOK破解，后来我调用了全局HOOK 让OPENPROCESS无法取得本身软件的进程句柄。结果被人家换个全局HOOK就搞定了，他破解的原理是HOOK住我的程序后就立刻修改我的一个重要地址的内存！虽然还有更好的办法对付，但是我想请教一下有什么办法能更好的防止HOOK呢？最好有函数或者驱动代码，目前rootkit被各大杀毒软件查杀，不敢用他的驱动了，有其他的驱动或者方法来彻底杜绝HOOK吗？记得微软有个未公开函数可以T去别人的HOOK DLL 可惜如果被人家HOOK了，关键部分就已经改变，在把他T去也没什么用了，所以想请教比较彻底的办法 CRC、自备映像、挂接系统服务表、修改内核权限检查代码……等等绝对有效的方法是不存在的，看的就是谁更高明一点而已 2006-6-15 22:27 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 3 楼 Email to MS,叫他取消windows的hook功能，否则，你就得迁就... 2006-6-15 23:04 0
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 4 楼怎么检测出HOOK，然后把HOOK的恢复成原来的呢 2006-6-16 07:16 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 5 楼这个实现很简单!但是我想彻底的隐藏进程 2006-6-16 17:08 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 6 楼最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程那是不可能的。 2006-6-16 20:15 0
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 7 楼最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程怎么做 2006-6-17 05:36 0
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	RyoKou 1 8 楼 ring3防止hook可以挂忤LoadLibraryExW，咿?dll的加蒌，pjf大大?咿相?的文章，可以咀上搜索《防止全局钩子的侵入》找到更多的内容。 ?於ring0下的SSDT、IDT、IRP之?的hook，建阻?坐《Rootkits: Subverting the Windows Kernel》一?，奄面有蒉_???慕榻B！！！ 2006-6-17 07:17 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 9 楼 "绝对有效的方法是不存在的，看的就是谁更高明一点而已."非常同意！ 2006-6-17 08:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2 楼最初由 bujin888* 发布* 写的一个软件，被人家HOOK破解，后来我调用了全局HOOK 让OPENPROCESS无法取得本身软件的进程句柄。结果被人家换个全局HOOK就搞定了，他破解的原理是HOOK住我的程序后就立刻修改我的一个重要地址的内存！虽然还有更好的办法对付，但是我想请教一下有什么办法能更好的防止HOOK呢？最好有函数或者驱动代码，目前rootkit被各大杀毒软件查杀，不敢用他的驱动了，有其他的驱动或者方法来彻底杜绝HOOK吗？记得微软有个未公开函数可以T去别人的HOOK DLL 可惜如果被人家HOOK了，关键部分就已经改变，在把他T去也没什么用了，所以想请教比较彻底的办法 CRC、自备映像、挂接系统服务表、修改内核权限检查代码……等等绝对有效的方法是不存在的，看的就是谁更高明一点而已 2006-6-15 22:27 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 3 楼 Email to MS,叫他取消windows的hook功能，否则，你就得迁就... 2006-6-15 23:04 0
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 4 楼怎么检测出HOOK，然后把HOOK的恢复成原来的呢 2006-6-16 07:16 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 5 楼这个实现很简单!但是我想彻底的隐藏进程 2006-6-16 17:08 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 6 楼最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程那是不可能的。 2006-6-16 20:15 0
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 7 楼最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程怎么做 2006-6-17 05:36 0
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	RyoKou 1 8 楼 ring3防止hook可以挂忤LoadLibraryExW，咿?dll的加蒌，pjf大大?咿相?的文章，可以咀上搜索《防止全局钩子的侵入》找到更多的内容。 ?於ring0下的SSDT、IDT、IRP之?的hook，建阻?坐《Rootkits: Subverting the Windows Kernel》一?，奄面有蒉_???慕榻B！！！ 2006-6-17 07:17 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 9 楼 "绝对有效的方法是不存在的，看的就是谁更高明一点而已."非常同意！ 2006-6-17 08:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复