inline hook和IDT hook结合
来源:互联网 发布:php怎么防止改cookie 编辑:程序博客网 时间:2024/05/29 08:20
inline hook就是修改一个函数里面的几个字节为一条跳转指令,jmp到自己的函数中执行......
IDT HOOK就是修改IDT表中正常的异常处理例程的入口函数,为自己的函数地址
把这俩种思想结合起来就是""""一个字节钩子""""
请看
nt!NtOpenFile:
80579fd0 8bff mov edi,edi
80579fd2 55 push ebp
80579fd3 8bec mov ebp,esp
对这个函数进行inline hook没什么问题.....但是我们这里只修改一个字节....所以不是inline hook
mov edi,edi的机器码是8bff...........我们就把8b这个字节改下,就改成0xCD吧.....然后执行
nt!NtOpenFile时候.....意味着执行了0xCD 0xFF 这个机器码表示的是INT 0XFF...呵呵.....然后就发生了异常......转到处理INT 0XFF的异常处理程序............我们可以IDT HOOK INT 0XFF.........所以就执行我们自己的函数了
总结:::这种方法可以绕过现在很过工具的inline hook检测...因为我们只修改函数开头的一个字节...本质上说不是inline hook,没有jmp嘛.....
但是修改了IDT.....随便DUMP一下IDT就知道是否异常拉..........所以检测IDT 还是很重要的...因为这张表对病毒来说还是可以利用的....除了这个""""一个字节钩子"""""还有键盘记录...禁止调试等..........
接着你们就可以试下了...inline hook和IDT hook的代码看雪就有
PS::我对HOOK基本是没什么兴趣....检测HOOK倒是有兴趣........所以在检测一个函数是否干净..看来还是要来个对0xCD的判断啊
IDT HOOK就是修改IDT表中正常的异常处理例程的入口函数,为自己的函数地址
把这俩种思想结合起来就是""""一个字节钩子""""
请看
nt!NtOpenFile:
80579fd0 8bff mov edi,edi
80579fd2 55 push ebp
80579fd3 8bec mov ebp,esp
对这个函数进行inline hook没什么问题.....但是我们这里只修改一个字节....所以不是inline hook
mov edi,edi的机器码是8bff...........我们就把8b这个字节改下,就改成0xCD吧.....然后执行
nt!NtOpenFile时候.....意味着执行了0xCD 0xFF 这个机器码表示的是INT 0XFF...呵呵.....然后就发生了异常......转到处理INT 0XFF的异常处理程序............我们可以IDT HOOK INT 0XFF.........所以就执行我们自己的函数了
总结:::这种方法可以绕过现在很过工具的inline hook检测...因为我们只修改函数开头的一个字节...本质上说不是inline hook,没有jmp嘛.....
但是修改了IDT.....随便DUMP一下IDT就知道是否异常拉..........所以检测IDT 还是很重要的...因为这张表对病毒来说还是可以利用的....除了这个""""一个字节钩子"""""还有键盘记录...禁止调试等..........
接着你们就可以试下了...inline hook和IDT hook的代码看雪就有
PS::我对HOOK基本是没什么兴趣....检测HOOK倒是有兴趣........所以在检测一个函数是否干净..看来还是要来个对0xCD的判断啊
- inline hook和IDT hook结合
- inline hook和IDT hook结合 收藏
- IDT Hook
- hook idt
- IDT HOOK
- IAT HOOK、EAT HOOK和Inline Hook
- SSDT-hook,IDT-hook原理
- 反idt hook 隐藏hook idt
- inline hook和SDDT hook的区别
- idt hook 3
- x86 IDT HOOK
- X64 HOOK IDT
- idt hook 原版
- win32 IDT HOOK
- Centos5.5 IDT HOOK
- Inline Hook
- Inline Hook
- inline hook
- 80后女孩的成长感悟:我是怎么变得现实的
- rootkit 直接访问硬件之[一]
- 随机单词文章构造器(Random Term Paper Writer)
- Sql Server数据库的备份和恢复措施
- IT企业CEO薪水揭密 IBM居高惠普谷歌有点冤
- inline hook和IDT hook结合
- ASP.NET中DataGrid加序号
- SQL Server2000数据库文件损坏时如何恢复
- 存储过程编写经验和优化措施
- 如何改变PowerShell启动的默认目录
- 调查结果显示超过八成IT人士存在跳槽意愿
- 学习PL/SQL 之五:游标
- EXCEL(VBA)~SQL 经典写法范本汇集
- 精通COBOL--第11章 子程序调用