首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]判断inlinehook的疑问
2008-12-10 09:37 4809

[求助]判断inlinehook的疑问

kankand 活跃值
2008-12-10 09:37
4809
nt!NtOpenProcess:
808a20da 68c4000000      push    0C4h
808a20df 6848978180      push    offset nt!PsGetProcessJob+0x115 (80819748)
808a20e4 e89a9df6ff      call    nt!CIsqrt+0x2d7 (8080be83)
808a20e9 33f6            xor     esi,esi

nt!NtOpenProcess:
805cac46 68c4000000      push    0C4h
805cac4b 6898b44d80      push    offset nt!FsRtlLegalAnsiCharacterArray+0x1fe8 (804db498)
805cac50 e81b0ff7ff      call    nt!wctomb+0x45 (8053bb70)
805cac55 33f6            xor     esi,esi

请教一下我电脑上和虚拟机上nt!NtOpenProcess的汇编代码都不一样,怎么才能判断nt!NtOpenProcess是否被inlinehook(不用工具)。用代码怎么实现,请高手点一下思路。
谢谢

[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (6)
sudami
雪    币: 709
活跃值: (2265)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
sudami 25 2008-12-10 13:44
2
0
逆别人的工具,你就知道了,带个反汇编引擎,扫一个函数,判断是否存在各种跳转指令,对比磁盘文件进行分析即可.

前提你还得熟悉Intel指令集.
kankand
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
kankand 2008-12-10 16:16
3
0
还有其他的办法吗
sudami
雪    币: 709
活跃值: (2265)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
sudami 25 2008-12-10 19:40
4
0
你真是吃着碗里看着锅里.
caseshadow
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
caseshadow 2008-12-11 09:42
5
0
我拿这几个关键函数的前面一部分代码加到程序去,然后读取字节码对比。。。不一样的就是被XX了
kankand
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
kankand 2008-12-11 13:43
6
0
要是hook的比较深怎么办
achillis
雪    币: 7651
活跃值: (493)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
achillis 15 2008-12-11 15:42
7
0
hook检测很难搞个好的
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回