首页
社区
课程
招聘
[求助]LoadImageCallBack Process problem
发表于: 2009-12-4 16:31 4478

[求助]LoadImageCallBack Process problem

2009-12-4 16:31
4478
场景:
安装一个LoadImage 的回调.

检测到了一个应该被拒绝的DLL.

条件:

现在取得其入口地址.

EntryPointerAddress=NtHeaders->OptionalHeader.AddressOfEntryPoint;
EntryPointerAddress+=(ULONG)ImageInfo->ImageBase;

到这一步后.就该拒绝了.

问题:

请教如何拒绝?

直接在其头上写个

mov eax 错误返回值

ret  XX

发现没有效果.

谢谢..

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
2
你的错误返回值是多少?
2009-12-4 16:33
0
雪    币: 8156
活跃值: (2756)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
BOOL WINAPI DllMain(
  HANDLE hinstDLL,
  DWORD dwReason,
  LPVOID lpvReserved
);

DLL的入口函数是这样的..

所以我写的拒绝指令是

0087E2FC >    B8 00000000   mov     eax, 0
0087E301      C2 0C00       retn    0C
2009-12-4 18:13
0
雪    币: 8156
活跃值: (2756)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
结贴..我又犯了一个低级错误...

ULONG* 和ULONG来表示地址的时候有什么不同..

谢谢教主大牛指导..
2009-12-4 22:42
0
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好邪恶的 loadimage hook callback
2009-12-5 09:19
0
游客
登录 | 注册 方可回帖
返回
//