摘要:
【技术分享】r0下的进程保护 安全客 发布于 2022-01-17 17:00:36 阅读 1852 https://www.wangan.com/p/7fy7fg9985331389 前言 进程保护是众多 AV 或者病毒都要所具备的基础功能,本文就 0 环下通过 SSDT 来对进程进行保护进行探究 阅读全文
posted @ 2023-01-02 21:28
bonelee
阅读(238)
评论(0)
推荐(0)
摘要:
SSDT Hook SSDT Hook属于内核层Hook,也是最底层的Hook。由于用户层的API最后实质也是调用内核API(Kernel32->Ntdll->Ntoskrnl),所以该Hook方法最为强大。不过值得注意的是 https://bbs.pediy.com/thread-187613.h 阅读全文
posted @ 2023-01-02 21:15
bonelee
阅读(1128)
评论(0)
推荐(0)
摘要:
IAT hook导入表hook原理:修改导入表中某函数的地址到自己的补丁函数。IATHook 通过GetProcAddress获取目标函数地址 在程序内存中找到所在dll的导入表 查找目标函数地址保存的位置 把地址修改为自己补丁函数问题:当该函数递归调用时,不会被hook为解决这个问题,可以使用in 阅读全文
posted @ 2023-01-02 21:13
bonelee
阅读(645)
评论(0)
推荐(0)
摘要:
Detours库类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是 阅读全文
posted @ 2023-01-02 19:32
bonelee
阅读(1587)
评论(0)
推荐(0)
浙公网安备 33010602011771号