[求助]win7 hook IFileOperation接口虚函数-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]win7 hook IFileOperation接口虚函数

发表于: 2010-4-12 18:59 8786

[求助]win7 hook IFileOperation接口虚函数

hdxs

2010-4-12 18:59

8786

在win7 挂接explorer进程hook IFileOperation接口的CopyItems虚函数；

采用的方法是CoCreateInstance获得接口实例，再根据实际指针取得虚函数表，根据头文件中关于IFileOperation的定义找出CopyItems的偏移(17),保留原地址后用WriteProcessMemory覆盖为自己的函数地址；我自己的函数没做处理就是简单的return 原函数调用；

在调试过程中，在自己的函数地址下断点，在拷贝的时候能断下来，单步能调回原来的函数，但是在函数返回（shell32的地址空间）后跳到了无效地址（call [eax +8]），感觉是那个地方没平衡到出错了；

各位大牛，有谁能提供些类似实例或者熟悉IFileOperation帮忙找下问题，谢谢！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (1)
renminbi 雪币： 327 活跃值： (1065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2 楼 IFileOperation接口虚函数表中CopyItems函数原型 HRESULT ( STDMETHODCALLTYPE CopyItems )( IFileOperation This, /* [in] / __RPC__in_opt IUnknown punkItems, /* [in] / __RPC__in_opt IShellItem psiDestinationFolder); 2010-11-2 13:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hdxs

发帖

141

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
renminbi 雪币： 327 活跃值： (1065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2 楼 IFileOperation接口虚函数表中CopyItems函数原型 HRESULT ( STDMETHODCALLTYPE CopyItems )( IFileOperation This, /* [in] / __RPC__in_opt IUnknown punkItems, /* [in] / __RPC__in_opt IShellItem psiDestinationFolder); 2010-11-2 13:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复