[讨论]关于对抗迅雷的反内联API HOOK！-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2 楼能说清楚点吗？ 2007-9-29 21:41 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼 LZ HOOK迅雷有什么价值？ 2007-10-2 09:24 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 4 楼 inline hook api跟hook api的区别是什么？ inline是不是就 jmp xxxx push ad xxxxx popad jmp xxx? 2007-10-4 16:25 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 5 楼无论怎样处理，只要能够HOOK “WSAsend”这个API，并将其数据截拦显示出来就行。但前提是被HOOK的软件本身存在反HOOK API的能力，比喻新版本的迅雷。目前，我发觉只有对迅雷HOOK某些API（比喻WSAsend）失败，其余的如Server-U, Flashget,ftp等网络通信程序都能接拦。如果只是针对的只是普通的网络程序，那么讨论反反HOOK API也没有必要，希望各位路过的高手能指点一二，最好能给出一个有实际功能的“反反HOOK API”Demo,或“反HOOK API”Demo（测试看看能过得了我HOOK API）。 2007-10-7 10:48 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 6 楼 0.取出IAT中第一个非ntdll的DLL,开始Anti Hook 1.首先找到要anti hook的dll的baseaddress 2.Umap BassAddress(ZwXXX函数) 3.重新load dll(自己写！)到该BaseAddress 4.检查自己的IAT,重新构造与该dll之间的引用 5.根据IAT下一个要anti hook的dll,goto 1，如果没有剩余dll,则goto 6 6.load ntdll.dll到内存重定位（可以让驱动来做这些，然后map tu user）,检查本进程空间的ntdll内容与load的内容是否有不同，有不同修正并goto 0,没有不同则推出anti hook 2007-10-8 13:39 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 7 楼谢谢“CVCVXK”指教，小弟已经用上述思路完美的解决了问题。看来高手就是见多识广，思路开阔。自己当初只是考虑了多线程，异常处理中是否含有anti hook程序段，没有想到从源头着手，结果给困住了。 2007-10-8 20:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 2 楼能说清楚点吗？ 2007-9-29 21:41 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼 LZ HOOK迅雷有什么价值？ 2007-10-2 09:24 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 4 楼 inline hook api跟hook api的区别是什么？ inline是不是就 jmp xxxx push ad xxxxx popad jmp xxx? 2007-10-4 16:25 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 5 楼无论怎样处理，只要能够HOOK “WSAsend”这个API，并将其数据截拦显示出来就行。但前提是被HOOK的软件本身存在反HOOK API的能力，比喻新版本的迅雷。目前，我发觉只有对迅雷HOOK某些API（比喻WSAsend）失败，其余的如Server-U, Flashget,ftp等网络通信程序都能接拦。如果只是针对的只是普通的网络程序，那么讨论反反HOOK API也没有必要，希望各位路过的高手能指点一二，最好能给出一个有实际功能的“反反HOOK API”Demo,或“反HOOK API”Demo（测试看看能过得了我HOOK API）。 2007-10-7 10:48 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 6 楼 0.取出IAT中第一个非ntdll的DLL,开始Anti Hook 1.首先找到要anti hook的dll的baseaddress 2.Umap BassAddress(ZwXXX函数) 3.重新load dll(自己写！)到该BaseAddress 4.检查自己的IAT,重新构造与该dll之间的引用 5.根据IAT下一个要anti hook的dll,goto 1，如果没有剩余dll,则goto 6 6.load ntdll.dll到内存重定位（可以让驱动来做这些，然后map tu user）,检查本进程空间的ntdll内容与load的内容是否有不同，有不同修正并goto 0,没有不同则推出anti hook 2007-10-8 13:39 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 7 楼谢谢“CVCVXK”指教，小弟已经用上述思路完美的解决了问题。看来高手就是见多识广，思路开阔。自己当初只是考虑了多线程，异常处理中是否含有anti hook程序段，没有想到从源头着手，结果给困住了。 2007-10-8 20:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复