火绒盾（断开网络失效）问题已经查明～～【问题已经解决】

zhq445078388

BootMgr 发表于 2012-7-31 14:51
EAT本身就会传递到所有的模块里，不是你想精确就能精确的，发出这个问题说明你还不如18楼的初学者懂啊。 ...

对了~ MJ大大 我想趁这机会问个问题

r3的时候我做过eat的hook 当时是通过主动加载动态库 确定导出表位置 然后让rav+基地址=我的回调函数 的方式

在r0有什么不同呢? 毕竟我们不能确定对方加载动态库时候是怎么加载啊..
loadlibrary不是直接从文件加载的么? 内核中怎么hook捏..

因为从来没弄过 所以小问下思路有问题的话..可以尽情笑话..

BootMgr

lh920215 发表于 2012-7-31 14:55
“别人挂了IAT你就出问题，这是什么代码质量啊”
回复好强势  看来某软件不会让步了
“火绒的内核技术跟 ...

以前就爆过一次了，如果楼主真心承认此帖中的错误并道歉，不再做低级黑，我就再给弱者提供一些帮助，帮助火绒进步。

lh920215

XMonster 发表于 2012-7-31 14:58
火绒已经被MJ爆过了.

火绒路难走喽 出师未捷身先死啊

大金鱼先生

围观下·····，hook同一个钩子就出问题？·····

BootMgr

lh920215 发表于 2012-7-31 15:00
火绒路难走喽 出师未捷身先死啊

爆他是帮助他进步啊，所以楼主道歉了我再爆好了。

BootMgr

zhq445078388 发表于 2012-7-31 15:00
对了~ MJ大大 我想趁这机会问个问题

r3的时候我做过eat的hook 当时是通过主动加载动态库 确定 ...

r0如果你要挂钩一个动态加载的模块（无论是EAT还是别的），可以通过PsSetLoadImageNotifyRoutine的方式获知它加载的消息，然后你就可以挂钩它了

不过EAT HOOK通常会用于已经固定加载的模块

lh920215

BootMgr 发表于 2012-7-31 15:01
爆他是帮助他进步啊，所以楼主道歉了我再爆好了。

果然是MJ 思维方式就是不一般
看来火绒要好好谢谢你

zhq445078388

根据刚百度到的
eat hook有个优势 就是不管哪里调用到了 都会被Hook 而iat则只能对单个功能进行处理

虽然我还没明白eat hook是怎么做的..

作为一个初学者 趁两位大大针锋相对探讨技术的时候学习学习
ck也爆点好东西出来吧好不好~

z13667152750

我这个门外汉都知道的是：挂钩的实质是系统函数多一步处理过程，这一步过程本身对性能的影响可以忽略，真正影响性能的是这多出的一步会产生延时，因为安全软件需要在这一步对获取的消息进行处理，这个需要时间，也就是mj说的处理算法才是影响最大的因素

BootMgr

z13667152750 发表于 2012-7-31 15:07
我这个门外汉都知道的是：挂钩的实质是系统函数多一步处理过程，这一步过程本身对性能的影响可以忽略，真正 ...

你这个“门外汉”的说法也太不看不起瑞星前CTO了吧？