飘云阁一种应对程序自效检的方案

Nisy 发表于 2014-8-10 01:12:03

先比对出 src 和 Patch File 的差异列表
程序启动时挂接我们的Dll 也可以直接增加导入表
Dll 去 Hook 程序的 CreateFile CreateFileMapping 等函数 ...
当程序读取到这些数据时候若命中我们的表单则帮其修复为原数据

就KO了

Nisy 发表于 2014-8-10 01:27:43

add
动态加载模块
动态获取及Patch PE新地址
动态Patch 程序效检查
添加区段及其添加导入表
Fix 地址随机化

功能做到模块中动态Fix 模块所有导入表

vipcrack 发表于 2014-8-10 06:27:51

{:victory:}只有膜拜！

Dxer 发表于 2014-8-10 08:54:43

谢谢nisy校长的指导。感激不尽

sunflover 发表于 2014-8-10 09:39:28

也就是inline hook文件读取函数,不知这样理解可有出入

smallhorse 发表于 2014-8-10 12:03:09

N大，你站稳了，纯跪舔..........这思路我这辈子想不到............

醉月清风 发表于 2014-8-10 12:19:30

呵呵表示现在头大，后面消化

飘云发表于 2014-8-11 08:26:28

既然用dllhook了，怎么还会存在crc呢？

small-q 发表于 2014-8-11 13:48:50

目前内存校验的还比较少

beijingren 发表于 2014-8-13 07:39:16

Hook的确是超级无敌好用的一招啊

页: [1] 2

飘云阁's Archiver