|
阅读:6694回复:18
什么叫inline HOOK ?
我在网上找了半天,也没弄明白,那位大牛指教一下。
|
|
|
沙发#
发布于:2007-01-18 12:42
就是修改函数的入口处进行hook的方法,这区别于ssdthook 方式
|
|
|
|
板凳#
发布于:2007-01-18 13:04
不一定在入口处,只要修改了任何指令,跳到自己程序里处理都算是.
|
|
|
|
地板#
发布于:2007-01-18 15:51
如何得到想要的函数的入口地址?
|
|
|
地下室#
发布于:2007-01-19 09:31
引用第1楼znsoft于2007-01-18 12:42发表的“”: 请问ssdthook 方式是怎么做的 |
|
|
5楼#
发布于:2007-01-20 21:07
SSDT Hook修改系统服务派遣表。
简单来说,两种hook都是改变执行流程的方法,只不过在实现上inline hook修改代码段,ssdt hook修改数据段而已。 |
|
|
|
6楼#
发布于:2007-01-21 13:35
 前两天也有人跟偶提inline,唬的偶一愣一愣的,google了一下才发现是N年前就用的老技术。。。不知啥人给发明了个inline的叫法.....  |
|
|
|
7楼#
发布于:2007-01-21 18:47
引用第2楼wowocock于2007-01-18 13:04发表的“”: 内核每个角落都有可能被inline。。。。 如果是那样多恐怖。。。 |
|
|
8楼#
发布于:2007-01-21 23:48
引用第7楼qiweixue于2007-01-21 18:47发表的“”: 没什么恐怖的,检测和清除起来简单多了,DKOM那才叫恐怖。。。 |
|
|
|
9楼#
发布于:2007-01-22 09:15
引用第8楼WQXNETQIQI于2007-01-21 23:48发表的“”: 如果你打开是错误的文件呢?所有的恢复前提在于你能获得正确的比较文件. |
|
|
|
10楼#
发布于:2007-01-22 10:17
引用第9楼wowocock于2007-01-22 09:15发表的“”: 呵呵,这不就简单了吗?保证自己得到的文件是正确的即可:D |
|
|
|
11楼#
发布于:2007-01-23 09:18
引用第10楼WQXNETQIQI于2007-01-22 10:17发表的“”: 除非你能在文件系统到磁盘IO全部自己实现,不依赖OS,不然不能保证,毕竟能HOOK的地方太多了,而HOOK又是如此的简单......  |
|
|
|
12楼#
发布于:2007-01-23 13:07
引用第11楼wowocock于2007-01-23 09:18发表的“”: 磁盘io的idt是可以hook的~~你读取数据返回时是可以做手脚的——除非你先禁止磁盘io中断,然后自己去读写——这个也麻烦~ |
|
|
|
13楼#
发布于:2007-01-23 13:08
干脆刷bios+低格
+重装,这样最干净~ |
|
|
|
14楼#
发布于:2007-01-23 17:32
引用第12楼killvxk于2007-01-23 13:07发表的“”: 设置DR寄存器来进行IO端点恐怕也不好做,这年头是人就HOOK...... |
|
|
|
15楼#
发布于:2007-01-31 00:43
没什么恐怖的,检测和清除起来简单多了,DKOM那才叫恐怖。。。
------inline hook很好检测吗??在函数开头插入inline hook才好检测,如果是在任意位置插入inline hook,你怎么检测?? |
|
|
|
16楼#
发布于:2007-01-31 11:43
直接还原image,对比之  |
|
|
|
17楼#
发布于:2007-03-14 14:17
引用第2楼wowocock于2007-01-18 13:04发表的“”: 精准 |
|
|
18楼#
发布于:2009-02-13 15:25
hOOK技术是不会消失的
|
|