HookShark纯中文版
原文翻译
一、描述
hookshark是探测器安装钩子和补丁安装在系统上的用户模式(仅为
现在)。它通过每个运行进程的每个加载模块的代码部分进行扫描。
将它与文件映像进行比较。如果检测到差异,则试图确定钩子的类型或
修补并向用户报告。关于补丁类型的详细报告不是100%可靠的。
可能是错的。HookShark做了许多的假设和猜测分析和报告中,
因为装配的性质。在某些情况下,我们不能在理论上用100%确定。
一块字节是否是数据或代码的准确性。我们也不能确定下一步在哪里。
指令开始,如果我们在一块修补的字节中间。几乎安全的推定
只能通过二进制的入口点进行全面的x86仿真跟踪来实现。但
即便如此,并不是所有的执行路径都必须覆盖。是的,甚至IDA也有这个问题。
极端的情况下。
II。实施计划的特点
目前的实施:
-内嵌补丁/钩(NOP,异常处理,相对跳转,自定义补丁)
-其他自定义补丁[……]
- IAT和吃钩
-搬迁挂钩
硬件断点
计划:
- page_guard钩
- PEB ldrlist钩
- trapflag使用“挂钩”
参加测试版
现在是公开测试版。下载这里也[ 1 ]
[ 1 ] HookShark.rar
四devblog
08-14-2008
刚刚完成对硬件断点的检测。看起来很有效。有趣的是,两个线程
在winlogon.exe已经启用了4硬件断点无效的内存(WinXP SP2)。我有
不知道为什么。脱钩仍然只能在:
-内嵌补丁/钩(NOP,异常处理,相对跳转,自定义补丁)
我想很快公开公测。
HookShark纯中文版
页:
[1]