首页
社区
课程
招聘
[求助]判断inlinehook的疑问
发表于: 2008-12-10 09:37 5217

[求助]判断inlinehook的疑问

2008-12-10 09:37
5217
nt!NtOpenProcess:
808a20da 68c4000000      push    0C4h
808a20df 6848978180      push    offset nt!PsGetProcessJob+0x115 (80819748)
808a20e4 e89a9df6ff      call    nt!CIsqrt+0x2d7 (8080be83)
808a20e9 33f6            xor     esi,esi

nt!NtOpenProcess:
805cac46 68c4000000      push    0C4h
805cac4b 6898b44d80      push    offset nt!FsRtlLegalAnsiCharacterArray+0x1fe8 (804db498)
805cac50 e81b0ff7ff      call    nt!wctomb+0x45 (8053bb70)
805cac55 33f6            xor     esi,esi

请教一下我电脑上和虚拟机上nt!NtOpenProcess的汇编代码都不一样,怎么才能判断nt!NtOpenProcess是否被inlinehook(不用工具)。用代码怎么实现,请高手点一下思路。
谢谢

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
2
逆别人的工具,你就知道了,带个反汇编引擎,扫一个函数,判断是否存在各种跳转指令,对比磁盘文件进行分析即可.

前提你还得熟悉Intel指令集.
2008-12-10 13:44
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
还有其他的办法吗
2008-12-10 16:16
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
4
你真是吃着碗里看着锅里.
2008-12-10 19:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我拿这几个关键函数的前面一部分代码加到程序去,然后读取字节码对比。。。不一样的就是被XX了
2008-12-11 09:42
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
要是hook的比较深怎么办
2008-12-11 13:43
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
7
hook检测很难搞个好的
2008-12-11 15:42
0
游客
登录 | 注册 方可回帖
返回
//