看流星社区

 找回密码
 注册账号
查看: 6413|回复: 19

导入地址表(IAT)随便HOOK+反检测方法

[复制链接]

该用户从未签到

发表于 2011-10-15 11:49:12 | 显示全部楼层 |阅读模式
防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。

用法:
  1.   HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);
  2.     HookImage("NtTerminateProcess",(DWORD)MyNtTerminateProcess);
  3.     HookImage("NtTerminateThread",(DWORD)MyNtTerminateThread);
  4.     HookImport("KERNEL32.DLL","ExitProcess",(DWORD)MyNtTerminateProcess);
  5.     RemoveImage("NtTerminateProcess");
复制代码

游客,如果您要查看本帖隐藏内容请回复

该用户从未签到

发表于 2011-10-15 11:50:07 | 显示全部楼层
标记,以后学习,附检测内存块的代码:
BOOL TestRangeAddr(ULONG VirtualAddress,ULONG Size)
{
                ULONG Addr,i;
  if (VirtualAddress==0||Size==0)
  {
    return FALSE;
  }  
                Addr=VirtualAddress;
  Addr%=0x1000;
                i=Addr+Size+0x0FFF;
  VirtualAddress/=0x1000;
               VirtualAddress*=0x1000;
  i/=0x1000;
  while(TRUE==MmIsAddressValid(VirtualAddress))
  {
    i--;
    VirtualAddress+=0x1000;
    if(i<=0)
      return TRUE;
  }
  return FALSE;
}

该用户从未签到

发表于 2011-10-21 23:20:26 | 显示全部楼层
看了再说吧,论坛技术人少

该用户从未签到

发表于 2011-10-29 13:17:27 | 显示全部楼层
学习学习喽

该用户从未签到

发表于 2014-4-6 00:00:57 | 显示全部楼层
支持一下,看看

该用户从未签到

发表于 2014-4-23 11:03:08 | 显示全部楼层
看看是什么内容

该用户从未签到

发表于 2014-12-6 20:23:39 | 显示全部楼层
看看是什么内容

该用户从未签到

发表于 2014-12-20 07:56:46 | 显示全部楼层
1111111地地道道地地道道地地道道地地道道的

该用户从未签到

发表于 2015-10-25 20:24:47 | 显示全部楼层
RE: 导入地址表(IAT)随便HOOK+反检测方法 [修改]

该用户从未签到

发表于 2015-11-29 21:33:15 | 显示全部楼层
学习学习喽
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-29 05:42

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表