透明007 发表于 2011-10-15 11:49:12

导入地址表(IAT)随便HOOK+反检测方法

防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。

用法:HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);
    HookImage("NtTerminateProcess",(DWORD)MyNtTerminateProcess);
    HookImage("NtTerminateThread",(DWORD)MyNtTerminateThread);
    HookImport("KERNEL32.DLL","ExitProcess",(DWORD)MyNtTerminateProcess);
    RemoveImage("NtTerminateProcess");

**** Hidden Message *****

梦寐 发表于 2011-10-15 11:50:07

标记,以后学习,附检测内存块的代码:
BOOL TestRangeAddr(ULONG VirtualAddress,ULONG Size)
{
                ULONG Addr,i;
if (VirtualAddress==0||Size==0)
{
    return FALSE;
}
                Addr=VirtualAddress;
Addr%=0x1000;
                i=Addr+Size+0x0FFF;
VirtualAddress/=0x1000;
               VirtualAddress*=0x1000;
i/=0x1000;
while(TRUE==MmIsAddressValid(VirtualAddress))
{
    i--;
    VirtualAddress+=0x1000;
    if(i<=0)
      return TRUE;
}
return FALSE;
}

deng0808 发表于 2011-10-21 23:20:26

看了再说吧,论坛技术人少

lloo 发表于 2011-10-29 13:17:27

学习学习喽

dgann 发表于 2014-4-6 00:00:57

支持一下,看看

codingman 发表于 2014-4-23 11:03:08

看看是什么内容

aa15 发表于 2014-12-6 20:23:39

看看是什么内容

zm018ok 发表于 2014-12-20 07:56:46

1111111地地道道地地道道地地道道地地道道的

a609958842 发表于 2015-10-25 20:24:47

RE: 导入地址表(IAT)随便HOOK+反检测方法 [修改]

ghostkim 发表于 2015-11-29 21:33:15

学习学习喽
页: [1] 2
查看完整版本: 导入地址表(IAT)随便HOOK+反检测方法