这两天用MASMPLUS练习弄API HOOK,顺手写了个HOOK CreateProcess,全局钩子HOOK后判定创建的进程,如果在指定目录下就BYEBYE,发上来留底。 因为每个DLL实例都要加载配置文件,所以这个文件的目录放在C盘了,测试的时候要把HooKAPI.ini放到C盘根目录。 2012-02-24 原来采用的是过滤后修复API并跳转过去执行的方式,可能存在漏HOOK的问题,现在采用在自定义函数中修复原指令并将参数压入、返回地址压入的方式,理论上不存在漏HOOK的问题了,不过浪费了50BYTE的空间。 另外原来的程序中没判定目录字符串的长度直接就改写了,修正一下。 源码.zip 测试程序.zip
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
