анти хук

Сейчас на форуме: asfa, bartolomeo (+7 невидимых)

Посл.ответ	Сообщение
tiranosaur Ранг: 14.7 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 09 апреля 2012 00:57 · Поправил: tiranosaur · Личное сообщение · #1 Как можно проверить хукнута ли функция или нет при помощи потоков? И как обойти такую защиту? Нужен не алгоритм а идея. Также ищу инфу по антихукам, и способам их обхода

plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 09 апреля 2012 01:42 · Поправил: plutos · Личное сообщение · #2 goolge "антихук" - 165 results Вот, например: https://wasm.ru/forum/viewtopic.php?id=25632 или "This code demonstrates how to overcome some of the API hooking techniques to execute a specified EXE that is free from API hooks. This program has been tested to work against HackDefender Version 1.0 rootkit for Windows." : http://www.security.org.sg/code/antihookexec.html (includes source code) "Антихук методы базируются на самих методах хука. Антиантихук методы базируются на самих антихук методах." ----- Give me a HANDLE and I will move the Earth.
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 09 апреля 2012 09:20 · Личное сообщение · #3 Есть такой протектор Frost. Он проверяет хуки. Вкратце - грузит копию библиотеки с диска и проверяет первые несколько байт с диска и в памяти. При несоответствии вызывает ошибку. Обходятся правда такие проверки легко.
ADACH Ранг: 13.9 (новичок), 9thx Активность: 0.01↘0 Статус: Участник	Создано: 09 апреля 2012 21:07 · Личное сообщение · #4 tiranosaur пишет: Как можно проверить хукнута ли функция или нет Сравнив с образом на жёстком диске. tiranosaur пишет: И как обойти такую защиту? Создав переходник из первых команд хукнутой ф-и (взятых из файла на диске), или убрав хук перезаписью. P.S.: Ещё не помешает таблицу импорта проверять, но вряд-ли тебе это поможет, так-как: Nightshade пишет: Обходятся правда такие проверки легко.
tiranosaur Ранг: 14.7 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 10 апреля 2012 02:00 · Личное сообщение · #5 библиотека под фимой. при правке тела функции (вставляю хук) выбивает. в проге куча потоков. есть подозрение что как-то проверяет время выполнения функции. так же более защищенная версия не запускается олей вообще. виснет((( ктонить может помоч.
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 10 апреля 2012 03:19 · Личное сообщение · #6 tiranosaur пишет: виснет((( виснет как-раз из-за большого количества потоков в олле в закладке threads убей все потоки кроме основного (как вариант) ----- aLL rIGHTS rEVERSED!
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 10 апреля 2012 09:48 · Личное сообщение · #7 tiranosaur пишет: библиотека под фимой. при правке тела функции (вставляю хук) выбивает. в проге куча потоков. есть подозрение что как-то проверяет время выполнения функции. так же более защищенная версия не запускается олей вообще. виснет((( ктонить может помоч. Жертву в студию... ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
tiranosaur Ранг: 14.7 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 10 апреля 2012 10:23 · Личное сообщение · #8 overworld.su клиент l2)))
tiranosaur Ранг: 14.7 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 13 апреля 2012 12:38 · Личное сообщение · #9 А как просто приаттачится к проге с большим количеством потоков? оля виснет(

Для печати