这两天用MASMPLUS练习弄API HOOK,顺手写了个HOOK CreateProcess,全局钩子HOOK后判定创建的进程,如果在指定目录下就BYEBYE,发上来留底。 因为每个DLL实例都要加载配置文件,所以这个文件的目录放在C盘了,测试的时候要把HooKAPI.ini放到C盘根目录。 2012-02-24 原来采用的是过滤后修复API并跳转过去执行的方式,可能存在漏HOOK的问题,现在采用在自定义函数中修复原指令并将参数压入、返回地址压入的方式,理论上不存在漏HOOK的问题了,不过浪费了50BYTE的空间。 另外原来的程序中没判定目录字符串的长度直接就改写了,修正一下。 源码.zip 测试程序.zip
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
