楼主: ExitProces
收起左侧

[原创文章] 记一次对<Ring3钩子保护自身>例程的分析,付解决DEMO和思路

  [复制链接]
ExitProces
 楼主| 发表于 2015-4-4 18:59:51 | 显示全部楼层
wowowo 发表于 2015-4-4 18:45
不是啊。。。。

你们的头像真是神同步
丝雨飘雪
发表于 2015-4-12 00:36:18 | 显示全部楼层
方法好WS啊~膜拜之~
ExitProces
 楼主| 发表于 2015-4-13 17:28:33 | 显示全部楼层
丝雨飘雪 发表于 2015-4-12 00:36
方法好WS啊~膜拜之~

呵呵O(∩_∩)O~其实这些都是比较常规很久的办法了,
GF!
发表于 2015-4-14 09:31:24 | 显示全部楼层
看不懂的路过,看评论都很牛叉啊
丝雨飘雪
发表于 2015-4-14 16:50:54 | 显示全部楼层
ExitProces 发表于 2015-4-13 17:28
呵呵O(∩_∩)O~其实这些都是比较常规很久的办法了,

消息机制方面的只是确实欠缺了很多,不过说到Hook API,推荐对LdrLoadLibrary下手吧。额,还没看LZ的代码,有点不尊重就来乱说了,不好意思,互相交流啊~~
ExitProces
 楼主| 发表于 2015-4-14 22:47:56 | 显示全部楼层
丝雨飘雪 发表于 2015-4-14 16:50
消息机制方面的只是确实欠缺了很多,不过说到Hook API,推荐对LdrLoadLibrary下手吧。额,还没看LZ的代码 ...

其实很早我就意识到如果想在R3下防注入,就一定需要Hook LdrLoadLibrary,
但是随之而来的问题就是这将对所有被ApiHook的程序都会非常不稳定.
不知道是什么问题,怎么调试和检查也找不到问题的所在.所以我就退而求其次,Hook起了LoadLibraryExW.
虽然LdrLoadLibrary和LoadLibraryExW相差不太远,也只是参数传递嵌套调用的关系.
但是涉及到了更严格的参数检验和Unicode编码的规范.如果有什么细节没有处理好就很容易导致被Hook函数崩溃.

非常欢迎与您互相交流,我目前使用C/C++和易语言.对系统编程,内核编程,系统安全方向非常感兴趣.但是目前正在忙ACM-ICPC
ExitProces
 楼主| 发表于 2015-4-14 22:59:09 | 显示全部楼层
GF! 发表于 2015-4-14 09:31
看不懂的路过,看评论都很牛叉啊

其实,很久很久以前我看其他人的帖子的时候,想法也和你一样.请相信自己
丝雨飘雪
发表于 2015-4-15 09:51:09 | 显示全部楼层
ExitProces 发表于 2015-4-14 22:47
其实很早我就意识到如果想在R3下防注入,就一定需要Hook LdrLoadLibrary,
但是随之而来的问题就是这将对 ...

ACM高大上
ELOHIM
发表于 2015-4-15 10:07:06 | 显示全部楼层
这个要对系统底层函数机制相当了解了,
赞一个!~
做不来做不来……

蓝雨风暴
发表于 2015-4-15 16:50:33 | 显示全部楼层
路过支持一下,我居然看完了我什么都看不懂的技术文
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:17 , Processed in 0.120989 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表