首页
论坛
课程
招聘
[求助]卡巴HOOK 检测缓冲区溢出
2010-3-16 15:47 3635

[求助]卡巴HOOK 检测缓冲区溢出

2010-3-16 15:47
3635
《基于栈指纹检测缓冲区溢出的一点思路 》文中提到卡巴对缓冲区溢出的保护,用的是hook shellcode常用函数LoadLibraryA、GetProceAddress等,然后判断函数返回地址是否处于栈中来判定栈溢出的发生。但是我动手实验的时候却没发现hook,不知什么原因?我试过卡巴2010 30天试用版和卡巴7.0

原文链接:
http://bbs.pediy.com/showthread.php?t=49276

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

收藏
点赞0
打赏
分享
最新回复 (3)
雪    币: 197
活跃值: 活跃值 (11)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
pandascu 活跃值 2 2010-3-17 10:32
2
0
有试验过的吗?帮忙回答一下
雪    币: 226
活跃值: 活跃值 (13)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
youstar 活跃值 2 2010-3-28 17:18
3
0
同问...期待大牛~
雪    币: 214
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
compiler 活跃值 2010-3-30 00:48
4
0
开始学反汇编之前一直用的是kav6,每次看到LoadLibraryA(W)总觉得很奇怪,ollyice一直遇到一个很奇怪的跳转地址无法跟踪调试,直到后来才知道卡巴Hook了这些函数。前年还在无意中发现了这个Hook的一个问题(可能是一个bug,或者仅仅只是个错误,因为导致了溢出的程序没有任何提示就退出了。这个可以用detours 1.5的进程创建注入进行验证)
http://bbs.pediy.com/showthread.php?t=70463
kis8已经没有采用这种Hook了 LoadLibrayA代码如下
8BFF            mov     edi, edi
55              push    ebp
   8BEC            mov     ebp, esp
837D 08 00      cmp     dword ptr [ebp+8], 0
53              push    ebx
56              push    esi
74 14           je      xxxxxxx
68 D0E0807C     push    xxxxxxxxxxxxxxxx                     ; ASCII "twain_32.dll"
FF75 08         push    dword ptr [ebp+8]
FF15 A013807C   call    dword ptr [<&ntdll._strcmpi>]    ; ntdll._stricmp
85C0            test    eax, eax
  59              pop     ecx
  59              pop     ecx
  74 12           je      short 7C801DAA
  6A 00           push    0
   6A 00           push    0
   FF75 08         push    dword ptr [ebp+8]
   E8 ABFFFFFF     call    LoadLibraryExA
   5E              pop     esi
5B              pop     ebx
   5D              pop     ebp
    C2 0400         retn    4

这之前的版本被Hook之后变成
55              push    ebp
  8BEC            mov     ebp, esp
90              nop
5D              pop     ebp
E9 7D080053     jmp     xxxxxx

可以随便用ollyice开一个程序Ctrl+G到LoadLibraryA看一下。。。。。。
游客
登录 | 注册 方可回帖
返回