一种应对程序自效检的方案

Nisy · 发表于 2014-8-10 01:12:03

先比对出 src 和 Patch File 的差异列表
程序启动时挂接我们的Dll 也可以直接增加导入表
Dll 去 Hook 程序的 CreateFile CreateFileMapping 等函数 ...
当程序读取到这些数据时候若命中我们的表单则帮其修复为原数据

就KO了

Nisy · 发表于 2014-8-10 01:27:43

add
动态加载模块
动态获取及Patch PE新地址
动态Patch 程序效检查
添加区段及其添加导入表
Fix 地址随机化

功能做到模块中动态Fix 模块所有导入表

vipcrack · 发表于 2014-8-10 06:27:51

只有膜拜！

Dxer · 发表于 2014-8-10 08:54:43

谢谢nisy校长的指导。感激不尽

sunflover · 发表于 2014-8-10 09:39:28

也就是inline hook文件读取函数,不知这样理解可有出入

smallhorse · 发表于 2014-8-10 12:03:09

N大，你站稳了，纯跪舔..........这思路我这辈子想不到............

醉月清风 · 发表于 2014-8-10 12:19:30

呵呵表示现在头大，后面消化

飘云 · 发表于 2014-8-11 08:26:28

既然用dllhook了，怎么还会存在crc呢？

small-q · 发表于 2014-8-11 13:48:50

目前内存校验的还比较少

beijingren · 发表于 2014-8-13 07:39:16

Hook的确是超级无敌好用的一招啊

		自动登录	找回密码
密码			加入我们

[讨论] 一种应对程序自效检的方案