-
-
[求助]win7 hook IFileOperation接口虚函数
-
发表于:
2010-4-12 18:59
8782
-
[求助]win7 hook IFileOperation接口虚函数
在win7 挂接explorer进程hook IFileOperation接口的CopyItems虚函数;
采用的方法是CoCreateInstance获得接口实例,再根据实际指针取得虚函数表,根据头文件中关于IFileOperation的定义找出CopyItems的偏移(17),保留原地址后用WriteProcessMemory覆盖为自己的函数地址;我自己的函数没做处理就是简单的return 原函数调用;
在调试过程中,在自己的函数地址下断点,在拷贝的时候能断下来,单步能调回原来的函数,但是在函数返回(shell32的地址空间)后跳到了无效地址(call [eax +8]),感觉是那个地方没平衡到出错了;
各位大牛,有谁能提供些类似实例或者熟悉IFileOperation帮忙找下问题,谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课