jmpews
commented
5 years ago 个人感觉你的思路有点偏差, 你应该关注的是哪里读取的这个函数前几条指令进行检测, 以为即使你改成其他指令, 别人也知道你做了 patch.
Closed liaogang closed 5 years ago
jmpews
commented
5 years ago 个人感觉你的思路有点偏差, 你应该关注的是哪里读取的这个函数前几条指令进行检测, 以为即使你改成其他指令, 别人也知道你做了 patch.
您好,我看你的博客有这个inlinehook对抗的文章 里面有对inlinehook前几条指令内容进行,判断的方法。
一般来说使用 inlinehook 进行 hook 函数, 修改函数的前几条指令为跳转指令. 可以通过这个进行校验.比如有一个检测函数对传入的函数地址的第二条指令进行了判断,如果是跳转指令则认为它是被修改过的了。 我想把前二条指令修改为垃圾指令,该从什么地方入手呢?