本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 14918|回复: 30

基于CPU指令流的HOOK检测 [复制链接]

Rank: 2

发表于 2009-3-10 23:40:42 |显示全部楼层
    很老的思路了..就是拦截INT 3 INT1处理....设置TF位使CPU进入单步状态..接着就可以记录EIP了...拦截INT 2D截获DbgPrint输出...
   代码比较烂..将就..呵呵

yas_tracer.txt

30 KB, 下载次数: 476

Rank: 4

发表于 2009-3-10 23:59:27 |显示全部楼层
占沙发等大牛来发评论…

Rank: 1

发表于 2009-3-11 00:00:05 |显示全部楼层
see see

Rank: 9Rank: 9Rank: 9

发表于 2009-3-11 00:13:45 |显示全部楼层
   不错。。。
悟空,退下,为师一个人就够了

Rank: 5Rank: 5

发表于 2009-3-11 01:18:43 |显示全部楼层
EPA~~  
我现在需要64bit的~~

Rank: 3Rank: 3

发表于 2009-3-11 01:50:11 |显示全部楼层
gj,曾经参与过一个xx tsq

Rank: 4

发表于 2009-3-11 16:27:01 |显示全部楼层
引用第4楼killvxk于2009-03-10 22:18发表的  :
EPA~~  
我现在需要64bit的~~
干掉PATCHGUARD后,想则么干都容易了。

Rank: 2

发表于 2009-3-11 20:08:50 |显示全部楼层
貌似还是jona那套东西

Rank: 4

发表于 2009-3-11 23:59:09 |显示全部楼层
我现在是让PATCHGUARD为我所用。。。

Rank: 2

发表于 2009-3-12 00:41:07 |显示全部楼层
虽然思路上不错,但是我对标题的前几个字实在不敢恭维...

Rank: 3Rank: 3

发表于 2009-3-12 01:14:14 |显示全部楼层
引用第9楼gz1x于2009-03-11 21:41发表的  :
虽然思路上不错,但是我对标题的前几个字实在不敢恭维...
钟山滴水?

Rank: 1

发表于 2009-3-15 17:44:45 |显示全部楼层
谦虚使人进步!

Rank: 1

发表于 2009-3-16 12:34:46 |显示全部楼层
会不会很慢?

Rank: 1

发表于 2009-3-22 20:30:07 |显示全部楼层
引用第5楼Azy于2009-03-10 22:50发表的  :
gj,曾经参与过一个xx tsq
gj是什么意思?

Rank: 1

发表于 2009-3-25 00:08:25 |显示全部楼层
学习下思路

Rank: 1

发表于 2009-6-20 08:54:37 |显示全部楼层
返朴归真 有时候也需是最好的境界

Rank: 1

发表于 2009-6-28 07:41:15 |显示全部楼层
怎么觉得我下载回来一个网页文件。。。。

Rank: 1

发表于 2009-8-7 13:06:40 |显示全部楼层
引入CPU的方向做单步状态,不错,不错!!!

Rank: 1

发表于 2009-8-8 01:35:53 |显示全部楼层
东西不错,多我这样的新手来说。。呵呵

Rank: 1

发表于 2009-11-7 03:42:00 |显示全部楼层
顶一个..!~
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-5-24 14:09 , Processed in 0.032952 second(s), 11 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部