[求助]如何检测API是否被下了“钩子”-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]如何检测API是否被下了“钩子”

发表于: 2006-7-25 10:00 8339

[求助]如何检测API是否被下了“钩子”

chinawash

2006-7-25 10:00

8339

如题，我在调用某个API前，想检测是否被下了“钩子”，不知都有什么方法？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (22)
wiaa 雪币： 249 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 30 回帖 171 粉丝 1 关注私信	wiaa 6 2 楼不知道又什么方法。如果怕被下钩子，写成com组件一般很少有钩子会对com下手 2006-7-25 10:22 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 3 楼最初由 wiaa* 发布* 不知道又什么方法。如果怕被下钩子，写成com组件一般很少有钩子会对com下手我只是想知道有什么方法可以检测！ 2006-7-25 11:23 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 4 楼修改IAT的HookAPI似乎可以通过获取原API地址之后再对比对应的IAT地址，如不相等则可以认为是该API被HOOK了。没测试，瞎想的。 2006-7-25 11:27 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 5 楼关注这话题。现在想防别人钩ReadProcessMemory ;) 2006-7-25 11:32 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 6 楼当然了可以检测第一个指令是否是远跳一般都是jmp somewhere的形式。不过防止内存读取倒是不错一个驱动就行了 HOOk ZwOpenProcess 2006-7-25 11:44 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 7 楼 HOOKAPI一般都是靠修改入口的前几个字节来实现HOOK或修改目标程序的IAT，所以应该可以像壳一样检测CC方法一样检测HOOKAPI 2006-7-25 12:39 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 8 楼最初由小虾发布修改IAT的HookAPI似乎可以通过获取原API地址之后再对比对应的IAT地址，如不相等则可以认为是该API被HOOK了。没测试，瞎想的。这个我也想过是可以使用的，不过需要考虑操作系统的版本等原因，在不同的情况下加载地址可能会不同！ 2006-7-25 15:44 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 9 楼最初由 kanxue* 发布* 关注这话题。现在想防别人钩ReadProcessMemory ;) 不太明白，老大能不能将详细点？ 2006-7-25 15:45 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 10 楼防不胜防！主要看谁先谁后了，后出的总能防前面的。你先用anti hook，后面的就用anti anti hook;再后来就是anti anti anti hook.... 2006-7-25 18:14 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼鸡蛋不是刚说了一个么，就用鸡蛋那个方法就可以阿 2006-7-25 18:35 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼读原版dll 2006-7-25 18:37 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 13 楼最初由 forgot* 发布* 读原版dll 怎么保证读到的文件是原版的 2006-7-25 19:30 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 14 楼自己带一个原版DLL 2006-7-25 19:39 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼刚好找到一个更简单的反驱动HOOK方法。太简单了。我怀疑HOOK对反外挂是否有存在的价值。 2006-7-25 19:48 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 16 楼恰恰相反，我倒怀疑反HOOK是否有存在的价值。 2006-7-25 20:03 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 17 楼最初由鸡蛋壳* 发布* 刚好找到一个更简单的反驱动HOOK方法。太简单了。我怀疑HOOK对反外挂是否有存在的价值。请问反Hook跟反外挂有什么关系呢？ 2006-7-25 20:31 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 18 楼最初由 gkend* 发布* 防不胜防！主要看谁先谁后了，后出的总能防前面的。你先用anti hook，后面的就用anti anti hook;再后来就是anti anti anti hook.... 呵呵，我不是防，只是想检测！ 2006-7-25 20:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 19 楼最初由 nbw* 发布* 请问反Hook跟反外挂有什么关系呢？关系很大，年轻人。 2006-7-25 20:42 0
upm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	upm 20 楼最初由鸡蛋壳* 发布* 关系很大，年轻人。请问现在还有这么弱智的外挂和这么弱智的反外挂么？ 2006-7-25 20:54 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 21 楼最初由 chinawash* 发布* 呵呵，我不是防，只是想检测！检测的目的就是判是否hook,不是防是什么？既然说了很难防，就等于告诉你很难检测出来。 2006-7-25 21:05 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 22 楼目前可以仿照ICE检测内核是否被HOOK的方法就是与原始文件对比这个是相对可以行的方法只有一种情况就是HOOK者连文件也HOOK掉不过这种情况并不多见 2006-7-25 21:27 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 23 楼既然hook了，那么打开文件的功能也可以hook吧？那么你打开的文件的可信度就可想而知了，所以你同原始文件比较的结果也就可想而知了。一句话，你怎么反hook,我就可以怎么对付。因为你是先，我在后。 2006-7-25 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chinawash

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
wiaa 雪币： 249 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 30 回帖 171 粉丝 1 关注私信	wiaa 6 2 楼不知道又什么方法。如果怕被下钩子，写成com组件一般很少有钩子会对com下手 2006-7-25 10:22 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 3 楼最初由 wiaa* 发布* 不知道又什么方法。如果怕被下钩子，写成com组件一般很少有钩子会对com下手我只是想知道有什么方法可以检测！ 2006-7-25 11:23 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 4 楼修改IAT的HookAPI似乎可以通过获取原API地址之后再对比对应的IAT地址，如不相等则可以认为是该API被HOOK了。没测试，瞎想的。 2006-7-25 11:27 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 5 楼关注这话题。现在想防别人钩ReadProcessMemory ;) 2006-7-25 11:32 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 6 楼当然了可以检测第一个指令是否是远跳一般都是jmp somewhere的形式。不过防止内存读取倒是不错一个驱动就行了 HOOk ZwOpenProcess 2006-7-25 11:44 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 7 楼 HOOKAPI一般都是靠修改入口的前几个字节来实现HOOK或修改目标程序的IAT，所以应该可以像壳一样检测CC方法一样检测HOOKAPI 2006-7-25 12:39 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 8 楼最初由小虾发布修改IAT的HookAPI似乎可以通过获取原API地址之后再对比对应的IAT地址，如不相等则可以认为是该API被HOOK了。没测试，瞎想的。这个我也想过是可以使用的，不过需要考虑操作系统的版本等原因，在不同的情况下加载地址可能会不同！ 2006-7-25 15:44 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 9 楼最初由 kanxue* 发布* 关注这话题。现在想防别人钩ReadProcessMemory ;) 不太明白，老大能不能将详细点？ 2006-7-25 15:45 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 10 楼防不胜防！主要看谁先谁后了，后出的总能防前面的。你先用anti hook，后面的就用anti anti hook;再后来就是anti anti anti hook.... 2006-7-25 18:14 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼鸡蛋不是刚说了一个么，就用鸡蛋那个方法就可以阿 2006-7-25 18:35 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼读原版dll 2006-7-25 18:37 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 13 楼最初由 forgot* 发布* 读原版dll 怎么保证读到的文件是原版的 2006-7-25 19:30 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 14 楼自己带一个原版DLL 2006-7-25 19:39 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼刚好找到一个更简单的反驱动HOOK方法。太简单了。我怀疑HOOK对反外挂是否有存在的价值。 2006-7-25 19:48 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 16 楼恰恰相反，我倒怀疑反HOOK是否有存在的价值。 2006-7-25 20:03 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 17 楼最初由鸡蛋壳* 发布* 刚好找到一个更简单的反驱动HOOK方法。太简单了。我怀疑HOOK对反外挂是否有存在的价值。请问反Hook跟反外挂有什么关系呢？ 2006-7-25 20:31 0
chinawash 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	chinawash 18 楼最初由 gkend* 发布* 防不胜防！主要看谁先谁后了，后出的总能防前面的。你先用anti hook，后面的就用anti anti hook;再后来就是anti anti anti hook.... 呵呵，我不是防，只是想检测！ 2006-7-25 20:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 19 楼最初由 nbw* 发布* 请问反Hook跟反外挂有什么关系呢？关系很大，年轻人。 2006-7-25 20:42 0
upm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	upm 20 楼最初由鸡蛋壳* 发布* 关系很大，年轻人。请问现在还有这么弱智的外挂和这么弱智的反外挂么？ 2006-7-25 20:54 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 21 楼最初由 chinawash* 发布* 呵呵，我不是防，只是想检测！检测的目的就是判是否hook,不是防是什么？既然说了很难防，就等于告诉你很难检测出来。 2006-7-25 21:05 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 22 楼目前可以仿照ICE检测内核是否被HOOK的方法就是与原始文件对比这个是相对可以行的方法只有一种情况就是HOOK者连文件也HOOK掉不过这种情况并不多见 2006-7-25 21:27 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 23 楼既然hook了，那么打开文件的功能也可以hook吧？那么你打开的文件的可信度就可想而知了，所以你同原始文件比较的结果也就可想而知了。一句话，你怎么反hook,我就可以怎么对付。因为你是先，我在后。 2006-7-25 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复