- 注册时间
- 2011-8-8
- 最后登录
- 1970-1-1
该用户从未签到
|
防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。
用法:- HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);
- HookImage("NtTerminateProcess",(DWORD)MyNtTerminateProcess);
- HookImage("NtTerminateThread",(DWORD)MyNtTerminateThread);
- HookImport("KERNEL32.DLL","ExitProcess",(DWORD)MyNtTerminateProcess);
- RemoveImage("NtTerminateProcess");
复制代码
|
|