[求助]请问一下关于IAT HOOK监控文件创建的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
HOWMP 雪币： 2506 活跃值： (2323) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼你可能只处理了主程序的IAT，MSVCRxx.dll中的IAT没有处理。也就是说文件时从MSVCRxx.dll中IAT创建了文件 2012-3-29 19:21 0
neji 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	neji 3 楼我确实只hook了主文件的IAT 也就是说如果只对主文件进行IAT hook的话很多情况都是监控不到的吧 2012-3-30 09:30 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 4 楼 HOOK CREATEFILEA对付fopen是可以的，那只能说明你没有hook对 2012-3-30 10:26 0
neji 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	neji 5 楼我的测试程序用fopen就没有成功但是直接用createfileA就成功了。应该是hook到了的 2012-3-30 11:10 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 6 楼那可能真像2楼说的，你是动态库方式编译的，我向来都是静态方式编译的。楼主用调试器调试的话，应该很快就能解决问题。 2012-3-30 11:55 0
neji 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	neji 7 楼创建文件除了CreateFile会不会还有其他的方式，所以这里没监控到另外静态编译是指我的测试程序静态编译，那么fopen就可以被监控到了？ 2012-3-30 15:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
HOWMP 雪币： 2506 活跃值： (2323) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼你可能只处理了主程序的IAT，MSVCRxx.dll中的IAT没有处理。也就是说文件时从MSVCRxx.dll中IAT创建了文件 2012-3-29 19:21 0
neji 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	neji 3 楼我确实只hook了主文件的IAT 也就是说如果只对主文件进行IAT hook的话很多情况都是监控不到的吧 2012-3-30 09:30 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 4 楼 HOOK CREATEFILEA对付fopen是可以的，那只能说明你没有hook对 2012-3-30 10:26 0
neji 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	neji 5 楼我的测试程序用fopen就没有成功但是直接用createfileA就成功了。应该是hook到了的 2012-3-30 11:10 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 6 楼那可能真像2楼说的，你是动态库方式编译的，我向来都是静态方式编译的。楼主用调试器调试的话，应该很快就能解决问题。 2012-3-30 11:55 0
neji 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	neji 7 楼创建文件除了CreateFile会不会还有其他的方式，所以这里没监控到另外静态编译是指我的测试程序静态编译，那么fopen就可以被监控到了？ 2012-3-30 15:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]请问一下关于IAT HOOK监控文件创建的问题 0.00雪花