wingsoft
驱动小牛
驱动小牛
  • 注册日期2006-05-16
  • 最后登录2008-10-14
  • 粉丝0
  • 关注0
  • 积分1001分
  • 威望216点
  • 贡献值0点
  • 好评度214点
  • 原创分0分
  • 专家分0分
阅读:1855回复:4

如何知道被hook的函数在哪个sys内?

楼主#
更多 发布于:2007-04-15 08:59
  rt,如何知道被hook的函数在哪个sys内?
请各位指点~
[url] http://www.81915.com[/url]
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
沙发#
发布于:2007-04-16 09:07
分析指令取得目标地址,然后对比驱动范围,注意分析指令一定智能化,比如PUSH XXXXXXXX,RET
MOV EAX,XXXXXXX,JMP EAX,等非常规方法都要能检测出来,最好用专门的反汇编引擎进行智能化处理==。。。。。。。。
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
wingsoft
驱动小牛
驱动小牛
  • 注册日期2006-05-16
  • 最后登录2008-10-14
  • 粉丝0
  • 关注0
  • 积分1001分
  • 威望216点
  • 贡献值0点
  • 好评度214点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2007-04-16 17:57
现已取得了目标地址,如何对比驱动范围呢,怎样知道这个地址是属于哪个区动的,请大侠指点指点~  不胜感激~
[url] http://www.81915.com[/url]
MuseHero
驱动小牛
驱动小牛
  • 注册日期2005-04-20
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望156点
  • 贡献值0点
  • 好评度136点
  • 原创分0分
  • 专家分0分
地板#
发布于:2007-04-16 20:12
枚举内核模块,得到每个SYS的基址与大小,再看得到的地址是在哪个SYS的地址空间内。
flying2008
驱动牛犊
驱动牛犊
  • 注册日期2005-12-15
  • 最后登录2010-04-02
  • 粉丝0
  • 关注0
  • 积分695分
  • 威望85点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2007-04-16 20:34
引用第1楼wowocock2007-04-16 09:07发表的“”:
分析指令取得目标地址,然后对比驱动范围,注意分析指令一定智能化,比如PUSH XXXXXXXX,RET
MOV EAX,XXXXXXX,JMP EAX,等非常规方法都要能检测出来,最好用专门的反汇编引擎进行智能化处理==。。。。。。。。



怎么才能算上智能化呢?
如果在驱动空间内找一个没用的地址xxxx,然后inline hook驱动的函数mov eax xxxx,jmp eax;类似这样的hook怎么才能检测出来?
游客

返回顶部