首页
社区
课程
招聘
Hook过滤架构搭建,仿照360
发表于: 2010-7-1 13:48 38154

Hook过滤架构搭建,仿照360

2010-7-1 13:48
38154
收藏
免费 7
支持
分享
最新回复 (47)
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
26
虽然以前做过,但是过滤,还没弄过 谢谢了
2010-7-5 15:05
0
雪    币: 352
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
好~!!!留个脚印·!做个记号~!
2010-7-5 16:16
0
雪    币: 10962
活跃值: (2925)
能力值: ( LV5,RANK:71 )
在线值:
发帖
回帖
粉丝
28
看了此贴,许多疑问豁然开朗,感谢楼主和看雪提供这么好的学习平台。
2010-7-8 14:33
0
雪    币: 435
活跃值: (172)
能力值: ( LV13,RANK:280 )
在线值:
发帖
回帖
粉丝
29
如果只是用的话,其实这部分完全不用重新写,可以就用360原版的
但要是为了学习还是要仔细看的
2010-7-9 16:52
0
雪    币: 237
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
你就不能上传文件吗?
2010-7-11 21:21
0
雪    币: 146
活跃值: (182)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
31
学习下拉拉
2010-7-11 22:21
0
雪    币: 400
活跃值: (977)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
32
强人出手~~果然非同凡响
2010-7-12 19:29
0
雪    币: 217
活跃值: (45)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
33
8撮,看过了。
2010-7-19 11:14
0
雪    币: 33
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
好球,顶一个
2010-7-19 11:31
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
_declspec (naked) NTSTATUS FakeKiFastCallEntry()
{
   _asm
    {
        mov     edi,edi
        pushfd
        pushad
        push    edi
        push    ebx
        push    eax
        call    SysCallfilter
        mov     dword ptr [esp+10h],eax
       popad
        popfd
        sub     esp, ecx
        shr     ecx, 2
        push    RetAddress
        retn
    }
}
mov     dword ptr [esp+10h],eax
这个是eax是返回的调用地址,为什么要放到esp+10里面去呢?
这个esp+10的地址和ebx有什么关系吗?
就这儿没看明白了,希望 楼主不吝赐教
2010-7-30 21:02
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
好东西,值得顶起
2010-7-30 21:18
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
好好学习,顶
2010-7-31 21:44
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
mov eax,dword ptr [ebp+4h]

这句是不是应该改成 mov eax,dword ptr [esp+4h],[ebp+4h]在xp sp3上是ret那条返回指令,还没有回到kifastcallentry,esp+4h才是回到kifastcallentry的地址。
2010-12-3 21:51
0
雪    币: 384
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
膜拜
2010-12-3 23:41
0
雪    币: 191
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
谢谢楼主分析,mark~!@
2010-12-6 18:25
0
雪    币: 274
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
好文,关注ing
2010-12-15 08:24
0
雪    币: 72
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
我是小菜一个,学习了,谢谢楼主
2010-12-17 19:25
0
雪    币: 384
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
RtlCopyMemory((BYTE *)PatchAddr,ReplaceHead2,5);
你如何确保调用这句的时候别的线程正踩着PatchAddr或者做着类似的操作?
2011-5-15 16:28
0
雪    币: 107
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
44
先收藏了,有时间看
2011-5-17 11:24
0
雪    币: 216
活跃值: (57)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
写的太给力了。。。对学习内核很有帮助啊。
2011-5-20 16:46
0
雪    币: 1660
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
还有汇编啊.......
还要多学习
2011-5-20 17:02
0
雪    币: 862
活跃值: (329)
能力值: ( LV9,RANK:165 )
在线值:
发帖
回帖
粉丝
47
我最近也打算写呢,既然楼主写了,膜拜一把…
我现在的GoOrNot经常卡死整个系统…
2011-6-5 18:38
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
学习下,感谢。
2011-6-5 20:37
0
游客
登录 | 注册 方可回帖
返回
//