求懂得朋友解答下-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
wep 雪币： 271 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	wep 2 楼同求。 2011-3-24 10:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 ring3的ntdll里面有NtCreateFile，ring0的ntorkrnl.exe里面也有NtCreateFile~~ ring0的win32k.sys 里面有NtUserSetWindowsHookEx，ring3的user32.dll里为什么不能有呢？其实都一样，都是一个stub而已啊，再接下来一个sysenter就进ring0了~~ 上传的附件： Snap1.jpg （45.42kb，102次下载） 2011-3-24 10:58 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼不是导出函数。bp XX 未知标识符呢 2011-3-24 11:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼调用关系: user32!SetWindowsHookExA ->user32!SetWindowsHookExAW ->user32!_SetWindowsHookEx ->user32!NtUserSetWindowHookEx ->ntdll!KiFastSystemCall ->nt!KiFastCallEntry ->win32k!NtUserSetWindowHookEx 2011-3-24 11:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼 IDA+符号，然后map导入到OD里面~~ 2011-3-24 11:03 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼 HHOOK WINAPI SetWindowsHookEx( __in int idHook, __in HOOKPROC lpfn, __in HINSTANCE hMod, __in DWORD dwThreadId ); bp SetWindowsHookEx,[esp+4]==0xd HHOOK STDCALL NtUserSetWindowsHookEx ( HINSTANCE Mod, PUNICODE_STRING UnsafeModuleName, DWORD ThreadId, int HookId, HOOKPROC HookProc, BOOL Ansi) bp NtuserSetWindowsHookEx,[esp+0x10]==0xd 2011-3-24 11:05 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 8 楼 OD 有个插件可以加载微软符号的，不过太慢了。还是用windbg吧 2011-3-24 23:18 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 9 楼用一般断点应该断不下来吧 QQ在调用SetWindowsHookExA时会先将函数被改变的地方还原 ollyBonE插件好像可以 2011-3-25 07:38 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼 ollyBonE能断下？是什么原理呢？ 2011-3-27 10:26 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 11 楼 qq装钩子之前恢复SetWindowsHookExA代码 cc断点没用还会清硬件断点硬件断点也没用 ollybone加了一个驱动执行到被下断点的内存时驱动就将控制权交给OD 原理它的官网上有 2011-3-27 10:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
wep 雪币： 271 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	wep 2 楼同求。 2011-3-24 10:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 ring3的ntdll里面有NtCreateFile，ring0的ntorkrnl.exe里面也有NtCreateFile~~ ring0的win32k.sys 里面有NtUserSetWindowsHookEx，ring3的user32.dll里为什么不能有呢？其实都一样，都是一个stub而已啊，再接下来一个sysenter就进ring0了~~ 上传的附件： Snap1.jpg （45.42kb，102次下载） 2011-3-24 10:58 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼不是导出函数。bp XX 未知标识符呢 2011-3-24 11:00 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼调用关系: user32!SetWindowsHookExA ->user32!SetWindowsHookExAW ->user32!_SetWindowsHookEx ->user32!NtUserSetWindowHookEx ->ntdll!KiFastSystemCall ->nt!KiFastCallEntry ->win32k!NtUserSetWindowHookEx 2011-3-24 11:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼 IDA+符号，然后map导入到OD里面~~ 2011-3-24 11:03 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼 HHOOK WINAPI SetWindowsHookEx( __in int idHook, __in HOOKPROC lpfn, __in HINSTANCE hMod, __in DWORD dwThreadId ); bp SetWindowsHookEx,[esp+4]==0xd HHOOK STDCALL NtUserSetWindowsHookEx ( HINSTANCE Mod, PUNICODE_STRING UnsafeModuleName, DWORD ThreadId, int HookId, HOOKPROC HookProc, BOOL Ansi) bp NtuserSetWindowsHookEx,[esp+0x10]==0xd 2011-3-24 11:05 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 8 楼 OD 有个插件可以加载微软符号的，不过太慢了。还是用windbg吧 2011-3-24 23:18 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 9 楼用一般断点应该断不下来吧 QQ在调用SetWindowsHookExA时会先将函数被改变的地方还原 ollyBonE插件好像可以 2011-3-25 07:38 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼 ollyBonE能断下？是什么原理呢？ 2011-3-27 10:26 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 11 楼 qq装钩子之前恢复SetWindowsHookExA代码 cc断点没用还会清硬件断点硬件断点也没用 ollybone加了一个驱动执行到被下断点的内存时驱动就将控制权交给OD 原理它的官网上有 2011-3-27 10:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复