[求助]如果在Ring0中拦截了一个API函数并且该函数在Ring3下有对应的函数,那么如何确定该API函数调用位于进程中的哪个模块呢?-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]如果在Ring0中拦截了一个API函数并且该函数在Ring3下有对应的函数,那么如何确定该API函数调用位于进程中的哪个模块呢?

发表于: 2010-4-25 15:36 3709

[求助]如果在Ring0中拦截了一个API函数并且该函数在Ring3下有对应的函数,那么如何确定该API函数调用位于进程中的哪个模块呢?

mtvwr

活跃值

2010-4-25 15:36

3709

一个进程可以有好多DLL模块啊?该怎么确定呢?

有没有好的方法啊?

请大家帮帮忙啊.......

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

分享

最新回复 (2)
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼 MyNtOpenProcessProc: pushad pushfd invoke GetModuleHandleEx,4,[esp+40h+24h+4],offset ModuleBase .if eax != 0 invoke GetModuleBaseName,-1,ModuleBase,offset ModuleName,100 .if eax != 0 invoke lstrcmp,$CTA0("yyyyyyyyyyyy.dll"),offset ModuleName .if eax == 0 popfd popad xor eax,eax ret .endif invoke lstrcmp,$CTA0("xxxxxxxxxxx.dll"),offset ModuleName .if eax == 0 popfd popad xor eax,eax ret .endif .endif .endif popfd popad jmp dword ptr ds:[7FFE0300h] 2010-4-25 16:01 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 3 楼还是R3简单！ 2010-4-25 16:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

mtvwr

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//