请教有效的防止全局HOOK的方法-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-15 22:27 2 楼 0 最初由 bujin888* 发布* 写的一个软件，被人家HOOK破解，后来我调用了全局HOOK 让OPENPROCESS无法取得本身软件的进程句柄。结果被人家换个全局HOOK就搞定了，他破解的原理是HOOK住我的程序后就立刻修改我的一个重要地址的内存！虽然还有更好的办法对付，但是我想请教一下有什么办法能更好的防止HOOK呢？最好有函数或者驱动代码，目前rootkit被各大杀毒软件查杀，不敢用他的驱动了，有其他的驱动或者方法来彻底杜绝HOOK吗？记得微软有个未公开函数可以T去别人的HOOK DLL 可惜如果被人家HOOK了，关键部分就已经改变，在把他T去也没什么用了，所以想请教比较彻底的办法 CRC、自备映像、挂接系统服务表、修改内核权限检查代码……等等绝对有效的方法是不存在的，看的就是谁更高明一点而已
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-6-15 23:04 3 楼 0 Email to MS,叫他取消windows的hook功能，否则，你就得迁就...
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 2006-6-16 07:16 4 楼 0 怎么检测出HOOK，然后把HOOK的恢复成原来的呢
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2006-6-16 17:08 5 楼 0 这个实现很简单!但是我想彻底的隐藏进程
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-6-16 20:15 6 楼 0 最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程那是不可能的。
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 2006-6-17 05:36 7 楼 0 最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程怎么做
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 80 粉丝 0 关注私信	RyoKou 1 2006-6-17 07:17 8 楼 0 ring3防止hook可以挂忤LoadLibraryExW，咿?dll的加蒌，pjf大大?咿相?的文章，可以咀上搜索《防止全局钩子的侵入》找到更多的内容。 ?於ring0下的SSDT、IDT、IRP之?的hook，建阻?坐《Rootkits: Subverting the Windows Kernel》一?，奄面有蒉_???慕榻B！！！
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-6-17 08:59 9 楼 0 "绝对有效的方法是不存在的，看的就是谁更高明一点而已."非常同意！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-15 22:27 2 楼 0 最初由 bujin888* 发布* 写的一个软件，被人家HOOK破解，后来我调用了全局HOOK 让OPENPROCESS无法取得本身软件的进程句柄。结果被人家换个全局HOOK就搞定了，他破解的原理是HOOK住我的程序后就立刻修改我的一个重要地址的内存！虽然还有更好的办法对付，但是我想请教一下有什么办法能更好的防止HOOK呢？最好有函数或者驱动代码，目前rootkit被各大杀毒软件查杀，不敢用他的驱动了，有其他的驱动或者方法来彻底杜绝HOOK吗？记得微软有个未公开函数可以T去别人的HOOK DLL 可惜如果被人家HOOK了，关键部分就已经改变，在把他T去也没什么用了，所以想请教比较彻底的办法 CRC、自备映像、挂接系统服务表、修改内核权限检查代码……等等绝对有效的方法是不存在的，看的就是谁更高明一点而已
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-6-15 23:04 3 楼 0 Email to MS,叫他取消windows的hook功能，否则，你就得迁就...
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 2006-6-16 07:16 4 楼 0 怎么检测出HOOK，然后把HOOK的恢复成原来的呢
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2006-6-16 17:08 5 楼 0 这个实现很简单!但是我想彻底的隐藏进程
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-6-16 20:15 6 楼 0 最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程那是不可能的。
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 2006-6-17 05:36 7 楼 0 最初由 bujin888* 发布* 这个实现很简单!但是我想彻底的隐藏进程怎么做
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 80 粉丝 0 关注私信	RyoKou 1 2006-6-17 07:17 8 楼 0 ring3防止hook可以挂忤LoadLibraryExW，咿?dll的加蒌，pjf大大?咿相?的文章，可以咀上搜索《防止全局钩子的侵入》找到更多的内容。 ?於ring0下的SSDT、IDT、IRP之?的hook，建阻?坐《Rootkits: Subverting the Windows Kernel》一?，奄面有蒉_???慕榻B！！！
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-6-17 08:59 9 楼 0 "绝对有效的方法是不存在的，看的就是谁更高明一点而已."非常同意！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复