Декект хука функции

Сейчас на форуме: bezumchik, tyns777, Lohmaty (+7 невидимых)

Посл.ответ	Сообщение
Soluta Ранг: 0.2 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 12 июня 2019 18:04 · Личное сообщение · #1 Всем привет! Каким образом узнать был ли произведен хук функции?

f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 12 июня 2019 18:06 · Личное сообщение · #2 Сравнить с эталоном? ----- 2 оттенка серого
morgot Ранг: 69.9 (постоянный), 83thx Активность: 0.14↗0.73 Статус: Участник	Создано: 12 июня 2019 18:46 · Личное сообщение · #3 Soluta пишет: был ли произведен хук функции? Смотреть начало функции, нет ли там jmp и прочих хотпатчей или о каком хуке речь?
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 12 июня 2019 19:01 · Личное сообщение · #4 Soluta пишет: Каким образом узнать был ли произведен хук функции? Неэффективное целеполагание. Лучше максимально уточнить конкретный случай, ибо рабочими будут лишь частные решения. Мест постановки и способов реализации "хука" в живой природе столько, что универсальное решение практически не возможно, сорян ¯\_(ツ)_/¯
Soluta Ранг: 0.2 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 12 июня 2019 19:41 · Личное сообщение · #5 например GetTickCount()
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 12 июня 2019 22:38 · Личное сообщение · #6 Что бы узнать что процедура изменена нужно её вначале выделить, каждую инструкцию(cfg). Не обязательно первая модифицируется, просто обычно так проще. Можно к примеру пропатчить любое место до вызова целевого, а при получении управления скипнуть часть инструкций до целевого места, таким образом целевая процедура не будет изменена. Самый простой способ это найти изменения в кодовой секции исключив релоки. Будет известен факт патча в этой секции, а какие процедуры это затрагивает не особо важно^. Где то есть подобная тема, там сложный способ использовался, надо поискать. ----- vx
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 13 июня 2019 00:08 · Личное сообщение · #7 Загрузить копию в память и сравнить не судьба? ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 13 июня 2019 02:20 · Поправил: difexacaw · Личное сообщение · #8 ClockMan Видимо нет, иначе бы это сделал прежде чем спросить. Да и вообще такие понятия как патч и их детект давно не имеют смысла. Если апп крутится под визором/вм то там вообще никаких патчей нет и они не нужны. Ну и конечно кому нужны какие то винапи, если всё сходится на ядерных сервисах. Короче говоря по мойму это детская бесполезная затея. К примеру древняя как говно мамонта техника - IDP. Портим системную структуру и обрабатываем исключение в юм в векторной обработки. Эти ловушки запротекчены рандомной функцией ядром. Из другого процесса определить обработчик нельзя, так как нельзя получить ключ для его расшифровки. ----- vx

Для печати