[讨论]Inline Hook 怎么防止,或者怎么恢复?
议题作者:asm信息来源:邪恶八进制
如题,Inline hook是跑到api家里去hook的,比如hook ReadProcessMemory 函数,那怎么阻止它hook,或者恢复? 用SSDT Hook就可对付Inline Hook
Inline Hook一般是修改被Hook函数的前几个字节JMP到它自己的函数
对付R3下的Inline HOOK,直接用普通HOOK掉被HOOK的函数
比如ReadProcessMemory被Inline HOOK后,
可以 写个自己的函数HOOK掉ReadProcessMemory
然后在自己的函数里实现跳到NtReadVirtualMemory
PS:对方打算用Inline HOOK的话 不会简单地在R3 HOOK Ring3 SSDT Hook?
请问如何实现?
还有你怎么知道人家函数前面正合适10个字节? [url=http://bbs.pediy.com/showthread.php?t=40832&highlight=SSDT+HOOK]http://bbs.pediy.com/showthread.php?t=40832&highlight=SSDT+HOOK[/url]
跟1楼的方法一样.
或者参考IS,自己读取真实ntoskrnl.exe的内容,重定位,调用其中的函数... 前面已经说了是几个字节被修改
用10字节只是以例说明 [s:267]
那JB程序循环检测是否被恢复,如果恢复了,就继续Inline。。我想我还是想其他法子吧。。
页:
[1]