Closed liaogang closed 5 years ago
您好,我看你的博客有这个inlinehook对抗的文章 里面有对inlinehook前几条指令内容进行,判断的方法。 一般来说使用 inlinehook 进行 hook 函数, 修改函数的前几条指令为跳转指令. 可以通过这个进行校验.
一般来说使用 inlinehook 进行 hook 函数, 修改函数的前几条指令为跳转指令. 可以通过这个进行校验.
比如有一个检测函数对传入的函数地址的第二条指令进行了判断,如果是跳转指令则认为它是被修改过的了。 我想把前二条指令修改为垃圾指令,该从什么地方入手呢?
个人感觉你的思路有点偏差, 你应该关注的是哪里读取的这个函数前几条指令进行检测, 以为即使你改成其他指令, 别人也知道你做了 patch.
您好,我看你的博客有这个inlinehook对抗的文章 里面有对inlinehook前几条指令内容进行,判断的方法。
一般来说使用 inlinehook 进行 hook 函数, 修改函数的前几条指令为跳转指令. 可以通过这个进行校验.
比如有一个检测函数对传入的函数地址的第二条指令进行了判断,如果是跳转指令则认为它是被修改过的了。 我想把前二条指令修改为垃圾指令,该从什么地方入手呢?