[求助]关于Inline hook的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 2 楼大概瞄了几眼，蓝屏的地方太多了。。 windbg + VM来调式吧，你会很清楚的知道蓝屏在哪句代码上，一出问题就马上提问，水平提高不了多少的。。。 2010-1-22 16:07 0
暗夜盗魔雪币： 2522 活跃值： (667) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 62 粉丝 80 关注私信	暗夜盗魔 1 3 楼就是因为我这边不能搭建调试的环境，所以才给大侠们看的。 2010-1-22 16:52 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼自己去网上找个hook引擎来替换下面这个吧，硬盘不小心被我格了。。。 #include <ntddk.h> #include "InlineHook.h" typedef NTSTATUS (*ZWTERMINATEPROCESS)( IN HANDLE ProcessHandle, IN NTSTATUS ExitStatus); ZWTERMINATEPROCESS OldZwTerminateProcess; int ZwTerminateProcessPatchCodeLen = 0; #pragma LOCKEDCODE PVOID ZwTerminateProcessRet; int iProcess = FALSE; #pragma LOCKEDCODE __declspec(naked) NTSTATUS ZwTerminateProcessHookZone(,...) { _asm { _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; jmp [ZwTerminateProcessRet]; } } NTSTATUS DriverUnload( IN PDRIVER_OBJECT DriverObject ) { if (iProcess == TRUE) { UnHookApi(L"ZwTerminateProcess",FALSE,0,(PVOID)ZwTerminateProcessHookZone,ZwTerminateProcessPatchCodeLen); } DbgPrint("驱动已经被卸载了\n"); return STATUS_SUCCESS; } NTSTATUS NewZwTerminateProcess( IN HANDLE ProcessHandle, IN NTSTATUS ExitStatus ) { NTSTATUS status; DbgPrint("Hook Success\n"); OldZwTerminateProcess = (ZWTERMINATEPROCESS)ZwTerminateProcessHookZone; status = OldZwTerminateProcess(ProcessHandle,ExitStatus); if( NT_SUCCESS(status)) { return status; } return status; } NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { int bRet; DbgPrint("驱动已经加载了\n"); DbgPrint("Hello World\n"); DriverObject->DriverUnload = DriverUnload; bRet = HookApi((DWORD)NewZwTerminateProcess,L"ZwTerminateProcess",FALSE,0,(PVOID)ZwTerminateProcessHookZone,&ZwTerminateProcessPatchCodeLen,&ZwTerminateProcessRet); if(!bRet) { DbgPrint("hook ZwTerminateProcess failed\n"); }else{ iProcess = TRUE; } return STATUS_SUCCESS; } 2010-1-22 19:12 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼请参考详谈内核三步走inline实现 2010-1-22 20:40 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 http://bbs.pediy.com/showthread.php?t=98493&highlight= 2010-1-22 20:41 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 7 楼 vmware经常靠不住，我前天HOOK WRITE_PORT_UCHAR就失败了，一改写hal.exe的内存就死机。也不蓝屏，调试器里也没什么提示。换真机调试就正常。所以还是双物理机调试稳当点 2010-1-22 22:16 0
wx_曹海斌雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_曹海斌 8 楼 hello，chen老师会看新的机会么？ 2019-8-9 14:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 2 楼大概瞄了几眼，蓝屏的地方太多了。。 windbg + VM来调式吧，你会很清楚的知道蓝屏在哪句代码上，一出问题就马上提问，水平提高不了多少的。。。 2010-1-22 16:07 0
暗夜盗魔雪币： 2522 活跃值： (667) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 62 粉丝 80 关注私信	暗夜盗魔 1 3 楼就是因为我这边不能搭建调试的环境，所以才给大侠们看的。 2010-1-22 16:52 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼自己去网上找个hook引擎来替换下面这个吧，硬盘不小心被我格了。。。 #include <ntddk.h> #include "InlineHook.h" typedef NTSTATUS (*ZWTERMINATEPROCESS)( IN HANDLE ProcessHandle, IN NTSTATUS ExitStatus); ZWTERMINATEPROCESS OldZwTerminateProcess; int ZwTerminateProcessPatchCodeLen = 0; #pragma LOCKEDCODE PVOID ZwTerminateProcessRet; int iProcess = FALSE; #pragma LOCKEDCODE __declspec(naked) NTSTATUS ZwTerminateProcessHookZone(,...) { _asm { _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; _emit 0x90; jmp [ZwTerminateProcessRet]; } } NTSTATUS DriverUnload( IN PDRIVER_OBJECT DriverObject ) { if (iProcess == TRUE) { UnHookApi(L"ZwTerminateProcess",FALSE,0,(PVOID)ZwTerminateProcessHookZone,ZwTerminateProcessPatchCodeLen); } DbgPrint("驱动已经被卸载了\n"); return STATUS_SUCCESS; } NTSTATUS NewZwTerminateProcess( IN HANDLE ProcessHandle, IN NTSTATUS ExitStatus ) { NTSTATUS status; DbgPrint("Hook Success\n"); OldZwTerminateProcess = (ZWTERMINATEPROCESS)ZwTerminateProcessHookZone; status = OldZwTerminateProcess(ProcessHandle,ExitStatus); if( NT_SUCCESS(status)) { return status; } return status; } NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { int bRet; DbgPrint("驱动已经加载了\n"); DbgPrint("Hello World\n"); DriverObject->DriverUnload = DriverUnload; bRet = HookApi((DWORD)NewZwTerminateProcess,L"ZwTerminateProcess",FALSE,0,(PVOID)ZwTerminateProcessHookZone,&ZwTerminateProcessPatchCodeLen,&ZwTerminateProcessRet); if(!bRet) { DbgPrint("hook ZwTerminateProcess failed\n"); }else{ iProcess = TRUE; } return STATUS_SUCCESS; } 2010-1-22 19:12 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼请参考详谈内核三步走inline实现 2010-1-22 20:40 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 http://bbs.pediy.com/showthread.php?t=98493&highlight= 2010-1-22 20:41 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 7 楼 vmware经常靠不住，我前天HOOK WRITE_PORT_UCHAR就失败了，一改写hal.exe的内存就死机。也不蓝屏，调试器里也没什么提示。换真机调试就正常。所以还是双物理机调试稳当点 2010-1-22 22:16 0
wx_曹海斌雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_曹海斌 8 楼 hello，chen老师会看新的机会么？ 2019-8-9 14:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复