[原创]对Rav 2005中HOOK的初步分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (26) ◀ 1 2
hyd009 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	hyd009 26 楼厉害--------- 2004-12-9 22:14 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 27 楼最初由 guoke 发布下午发信给IS的作者提了些使用上的建议，顺便问了一下瑞星是怎么hook的，得到几句话（可能建议被采纳^_^），不过总算让我解开主要迷惑啦。这几句话大意是“2005试用版我这有人装过，看了一下，它对系统服务的hook除了修改几个注册表服务函数外，主要采用了直接修改系统ENTRY_SYSCALL代码的方式，类似于常见的apihook，它修改的位置是获取服务函数地址与参数后、调用函数之前的位置”. 虽然开始还是不太清楚，不过有了方向，跟踪时果然发现调用前(CALL EBX)的代码被改成了JMP###，而这里的###正是位于 HookApi.sys！哈哈，这个无耻的东西修改了参数。 ........ 难怪它要搜索SEH链！ 2004-12-10 08:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (26) ◀ 1 2
hyd009 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	hyd009 26 楼厉害--------- 2004-12-9 22:14 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 27 楼最初由 guoke 发布下午发信给IS的作者提了些使用上的建议，顺便问了一下瑞星是怎么hook的，得到几句话（可能建议被采纳^_^），不过总算让我解开主要迷惑啦。这几句话大意是“2005试用版我这有人装过，看了一下，它对系统服务的hook除了修改几个注册表服务函数外，主要采用了直接修改系统ENTRY_SYSCALL代码的方式，类似于常见的apihook，它修改的位置是获取服务函数地址与参数后、调用函数之前的位置”. 虽然开始还是不太清楚，不过有了方向，跟踪时果然发现调用前(CALL EBX)的代码被改成了JMP###，而这里的###正是位于 HookApi.sys！哈哈，这个无耻的东西修改了参数。 ........ 难怪它要搜索SEH链！ 2004-12-10 08:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复