检测关键函数的前几条指令内容

[liaogang]

您好，我看你的博客有这个inlinehook对抗的文章
里面有对inlinehook前几条指令内容进行，判断的方法。
一般来说使用 inlinehook 进行 hook 函数, 修改函数的前几条指令为跳转指令. 可以通过这个进行校验.

比如有一个检测函数对传入的函数地址的第二条指令进行了判断，如果是跳转指令则认为它是被修改过的了。　我想把前二条指令修改为垃圾指令，该从什么地方入手呢？

[jmpews]

个人感觉你的思路有点偏差, 你应该关注的是哪里读取的这个函数前几条指令进行检测, 以为即使你改成其他指令, 别人也知道你做了 patch.