-
我在网上找了半天,也没弄明白,那位大牛指教一下。
◆
◆
-
toyourheart0602:hOOK技术是不会消失的(2009-02-13 15:25)
-
悠长假期:引用第2楼wowocock于2007-01-18 13:04发表的“”: 不一定在入口处,只要修改了任何指令,跳到自己程序里处理都算是. 精准(2007-03-14 14:17)
直接还原image,对比之 
-
zhouhongyun:没什么恐怖的,检测和清除起来简单多了,DKOM那才叫恐怖。。。 ------inline hook很好检测吗??在函数开头插入inline hook才好检测,如果是在任意位置插入inline hook,你怎么检测??(2007-01-31 00:43)
-
wowocock:引用第12楼killvxk于2007-01-23 13:07发表的“”: 磁盘io的idt是可以hook的~~你读取数据返回时是可以做手脚的——除非你先禁止磁盘io中断,然后自己去读写——这个也麻烦~ 设置DR寄存器来进行IO端点恐怕也不好做,这年头是人就HOOK......(2007-01-23 17:32)
-
killvxk:干脆刷bios+低格 +重装,这样最干净~(2007-01-23 13:08)
-
killvxk:引用第11楼wowocock于2007-01-23 09:18发表的“”: 除非你能在文件系统到磁盘IO全部自己实现,不依赖OS,不然不能保证,毕竟能HOOK的地方太多了,而HOOK又是如此的简单......
磁盘io的idt是可以hook的~~你读取数据返回时是可以做手...(2007-01-23 13:07)
-
wowocock:引用第10楼WQXNETQIQI于2007-01-22 10:17发表的“”: 呵呵,这不就简单了吗?保证自己得到的文件是正确的即可:D 除非你能在文件系统到磁盘IO全部自己实现,不依赖OS,不然不能保证,毕竟能HOOK的地方太多了,而HOOK又是如此的简单......(2007-01-23 09:18)
-
WQXNETQIQI:引用第9楼wowocock于2007-01-22 09:15发表的“”: 如果你打开是错误的文件呢?所有的恢复前提在于你能获得正确的比较文件. 呵呵,这不就简单了吗?保证自己得到的文件是正确的即可:D(2007-01-22 10:17)
-
wowocock:引用第8楼WQXNETQIQI于2007-01-21 23:48发表的“”: 没什么恐怖的,检测和清除起来简单多了,DKOM那才叫恐怖。。。 如果你打开是错误的文件呢?所有的恢复前提在于你能获得正确的比较文件.(2007-01-22 09:15)
