-
我在网上找了半天,也没弄明白,那位大牛指教一下。
◆
◆
-
toyourheart0602:
hOOK技术是不会消失的(2009-02-13 15:25)
-
悠长假期:
引用第2楼wowocock于2007-01-18 13:04发表的“”:
不一定在入口处,只要修改了任何指令,跳到自己程序里处理都算是.
精准(2007-03-14 14:17)
-
WQXNETQIQI:
直接还原image,对比之 (2007-01-31 11:43)
-
zhouhongyun:
没什么恐怖的,检测和清除起来简单多了,DKOM那才叫恐怖。。。
------inline hook很好检测吗??在函数开头插入inline hook才好检测,如果是在任意位置插入inline hook,你怎么检测??(2007-01-31 00:43)
-
wowocock:
引用第12楼killvxk于2007-01-23 13:07发表的“”:
磁盘io的idt是可以hook的~~你读取数据返回时是可以做手脚的——除非你先禁止磁盘io中断,然后自己去读写——这个也麻烦~
设置DR寄存器来进行IO端点恐怕也不好做,这年头是人就HOOK......(2007-01-23 17:32)
-
killvxk:
干脆刷bios+低格
+重装,这样最干净~(2007-01-23 13:08)
-
killvxk:
引用第11楼wowocock于2007-01-23 09:18发表的“”:
除非你能在文件系统到磁盘IO全部自己实现,不依赖OS,不然不能保证,毕竟能HOOK的地方太多了,而HOOK又是如此的简单......
磁盘io的idt是可以hook的~~你读取数据返回时是可以做手...(2007-01-23 13:07)
-
wowocock:
引用第10楼WQXNETQIQI于2007-01-22 10:17发表的“”:
呵呵,这不就简单了吗?保证自己得到的文件是正确的即可:D
除非你能在文件系统到磁盘IO全部自己实现,不依赖OS,不然不能保证,毕竟能HOOK的地方太多了,而HOOK又是如此的简单......
(2007-01-23 09:18)
-
WQXNETQIQI:
引用第9楼wowocock于2007-01-22 09:15发表的“”:
如果你打开是错误的文件呢?所有的恢复前提在于你能获得正确的比较文件.
呵呵,这不就简单了吗?保证自己得到的文件是正确的即可:D(2007-01-22 10:17)
-
wowocock:
引用第8楼WQXNETQIQI于2007-01-21 23:48发表的“”:
没什么恐怖的,检测和清除起来简单多了,DKOM那才叫恐怖。。。
如果你打开是错误的文件呢?所有的恢复前提在于你能获得正确的比较文件.(2007-01-22 09:15)
返回顶部