eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: daFix
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Декект хука функции
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Статус: Участник

Создано: 12 июня 2019 18:04 New!
Цитата · Личное сообщение · #1

Всем привет!

Каким образом узнать был ли произведен хук функции?


Ранг: 194.3 (ветеран)
Статус: Участник

Создано: 12 июня 2019 18:06 New!
Цитата · Личное сообщение · #2

Сравнить с эталоном?

Ранг: 25.0 (посетитель)
Статус: Участник

Создано: 12 июня 2019 18:46 New!
Цитата · Личное сообщение · #3

Soluta пишет:
был ли произведен хук функции?

Смотреть начало функции, нет ли там jmp и прочих хотпатчей
или о каком хуке речь?

Ранг: 122.9 (ветеран)
Статус: Участник

Создано: 12 июня 2019 19:01 New!
Цитата · Личное сообщение · #4

Soluta пишет:
Каким образом узнать был ли произведен хук функции?

Неэффективное целеполагание. Лучше максимально уточнить конкретный случай, ибо рабочими будут лишь частные решения. Мест постановки и способов реализации "хука" в живой природе столько, что универсальное решение практически не возможно, сорян ¯\_(ツ)_/¯

Ранг: 0.2 (гость)
Статус: Участник

Создано: 12 июня 2019 19:41 New!
Цитата · Личное сообщение · #5

например GetTickCount()

Ранг: 276.5 (наставник)
Статус: Участник

Создано: 12 июня 2019 22:38 New!
Цитата · Личное сообщение · #6

Что бы узнать что процедура изменена нужно её вначале выделить, каждую инструкцию(cfg). Не обязательно первая модифицируется, просто обычно так проще.

Можно к примеру пропатчить любое место до вызова целевого, а при получении управления скипнуть часть инструкций до целевого места, таким образом целевая процедура не будет изменена.

Самый простой способ это найти изменения в кодовой секции исключив релоки. Будет известен факт патча в этой секции, а какие процедуры это затрагивает не особо важно^. Где то есть подобная тема, там сложный способ использовался, надо поискать.


Ранг: 529.6 (!)
Статус: Участник
оптимист

Создано: 13 июня 2019 00:08 New!
Цитата · Личное сообщение · #7

Загрузить копию в память и сравнить не судьба?

Ранг: 276.5 (наставник)
Статус: Участник

Создано: 13 июня 2019 02:20 · Поправил: difexacaw New!
Цитата · Личное сообщение · #8

ClockMan

Видимо нет, иначе бы это сделал прежде чем спросить. Да и вообще такие понятия как патч и их детект давно не имеют смысла. Если апп крутится под визором/вм то там вообще никаких патчей нет и они не нужны. Ну и конечно кому нужны какие то винапи, если всё сходится на ядерных сервисах. Короче говоря по мойму это детская бесполезная затея.

К примеру древняя как говно мамонта техника - IDP. Портим системную структуру и обрабатываем исключение в юм в векторной обработки. Эти ловушки запротекчены рандомной функцией ядром. Из другого процесса определить обработчик нельзя, так как нельзя получить ключ для его расшифровки.
 eXeL@B —› Вопросы новичков —› Декект хука функции

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS