导入地址表(IAT)随便HOOK+反检测方法
防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。用法:HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);
HookImage("NtTerminateProcess",(DWORD)MyNtTerminateProcess);
HookImage("NtTerminateThread",(DWORD)MyNtTerminateThread);
HookImport("KERNEL32.DLL","ExitProcess",(DWORD)MyNtTerminateProcess);
RemoveImage("NtTerminateProcess");
**** Hidden Message ***** 标记,以后学习,附检测内存块的代码:
BOOL TestRangeAddr(ULONG VirtualAddress,ULONG Size)
{
ULONG Addr,i;
if (VirtualAddress==0||Size==0)
{
return FALSE;
}
Addr=VirtualAddress;
Addr%=0x1000;
i=Addr+Size+0x0FFF;
VirtualAddress/=0x1000;
VirtualAddress*=0x1000;
i/=0x1000;
while(TRUE==MmIsAddressValid(VirtualAddress))
{
i--;
VirtualAddress+=0x1000;
if(i<=0)
return TRUE;
}
return FALSE;
} 看了再说吧,论坛技术人少 学习学习喽 支持一下,看看 看看是什么内容 看看是什么内容 1111111地地道道地地道道地地道道地地道道的 RE: 导入地址表(IAT)随便HOOK+反检测方法 [修改] 学习学习喽
页:
[1]
2