[求助]求驱动高手！怪事,很不解-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]求驱动高手！怪事,很不解 0.00雪花

发表于: 2011-7-21 18:38 1390

[旧帖] [求助]求驱动高手！怪事,很不解 0.00雪花

哇咔咔zs

2011-7-21 18:38

1390

ULONG  OldNtOpenProcess;
ULONG  Address;
NTSTATUS __stdcall MyNtOpenProcess(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId)
{
KdPrint(("MyNtOpenProcess执行了!!!!!\n"));
return 0;
}

void WPOFF()
{
__asm
{
cli
mov  eax,cr0
and  eax,not 10000h
mov  cr0,eax
}
}

void WPON()
{
__asm
{
mov  eax,cr0
or eax,10000h
mov  cr0,eax
sti
}
}

#pragma PAGECODE
VOID UnNtOpenProcessHook()
{
KdPrint(("\nUnNtOpenProcessHook执行了!"));
Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;
OldNtOpenProcess=*(ULONG*)Address;

WPOFF();
*((ULONG*)Address) = (ULONG)MyNtOpenProcess;
WPON();

}

上面代码是HOOK NtOpenProcess 我在MyNtOpenProcess里不执行SysNtOpenProcess  怎么就没蓝屏？不说居然还能用哦我晕了

求解释！

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (3)
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 2 楼杯具啊没人回答 2011-7-21 19:56 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼能用就怪了,你再用OD还能查看到进程列表就厉害了 2011-7-21 22:44 0
atgameover 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	atgameover 4 楼这个没问题啊,为什么会蓝屏?HOOK后,R3程序调用openprocess就得不到句柄了. 2011-7-22 01:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

哇咔咔zs

发帖

443

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 2 楼杯具啊没人回答 2011-7-21 19:56 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼能用就怪了,你再用OD还能查看到进程列表就厉害了 2011-7-21 22:44 0
atgameover 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	atgameover 4 楼这个没问题啊,为什么会蓝屏?HOOK后,R3程序调用openprocess就得不到句柄了. 2011-7-22 01:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]求驱动高手！ 怪事,很不解 0.00雪花

[旧帖] [求助]求驱动高手！怪事,很不解 0.00雪花