首页
社区
课程
招聘
能否请大虾给一个获取程序自身运行时IAT的汇编代码?谢谢
发表于: 2007-4-22 18:48 5847

能否请大虾给一个获取程序自身运行时IAT的汇编代码?谢谢

2007-4-22 18:48
5847
自己只是可以写出分析磁盘PE文件中IAT内容的win32汇编程序。

最近仔细看了一下hook的东东,检测程序是否被hook,坛子里的一些大虾推荐检查IAT是否与原来的IAT来判断是否被注入。决定采用这种方法,但是,该如何活动程序运行时的IAT表,没有入手的地方,请大虾给段代码,谢谢。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 1946
活跃值: (263)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
2
HOOK是很难检测的,道高一尺魔高一丈,你从IAT检测,人家直接从函数头改JMP,你检测函数头人家会从后几句改JMP,你检测整个函数,人家会从APIEx下JMP,你把RING3级全给检测了,人家会从RING0级JMP。。。
2007-4-22 19:35
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我从坛子里看到大家讨论过几种检测的办法。检查IAT是其中一种,虽然道高一尺,魔高一丈。但是,我希望选择一种方法可以初步尝试,也未必是件坏事。总是比什么都不干更好吧。
2007-4-22 20:59
0
游客
登录 | 注册 方可回帖
返回
//