[不敢声称原创，怕被喷]R3下猥琐NTDLL钩子-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (45) ◀ 1 2
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 26 楼偶尔可以玩一下 2013-3-7 09:26 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 27 楼方法有人放出来了。 2013-3-7 09:57 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 28 楼弟子愿拜猥琐为师请收下我吧. 2013-3-7 11:40 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 29 楼下回放x64的么~ 2013-3-8 12:17 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 30 楼请问我这样调用你又怎么在ring3 hook我 mov eax,service_id lea edx,service_param int 2eh 2013-3-8 17:40 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 31 楼 360xx,tpxx,xxxxxxx 2013-3-8 17:59 0
WST 雪币： 247 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	WST 32 楼不支持Win8 系统 2013-3-8 18:06 0
prePhrackr 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	prePhrackr 33 楼此帖高能回复，小菜学习了。 2013-3-8 18:39 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 34 楼 hook来hook去的，R3,R0，像踢球一样，不带这么玩的，没意思 2013-3-8 23:07 0
CloudG 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	CloudG 35 楼有点意思。哈。。。。。 2013-3-9 14:29 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 36 楼 Thanks for share. 2013-3-10 14:15 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 37 楼一样啊.短跳再长跳..长度不够就换个长度够的 2013-3-10 16:01 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 38 楼改改就支持了. 2013-3-10 16:02 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 39 楼你没明白我意思，我的程序是活的啊，程序还可能有不同的版本，特征码，代码地址都可能不一样，也不会调用sysenter 2013-3-10 19:50 0
hellopen 雪币： 487 活跃值： (288) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 99 粉丝 0 关注私信	hellopen 40 楼 HOOK 虽然没意识，但还是比较实用的 2013-3-10 21:43 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 41 楼这个在OD里面试过，是无法修改的。不过如果不是所有的进程的那块内存都映射到同一个页面的话，在ring0修改，对单进程做hook还是非常方便的。不用sysenter，用int 2E，甚至改用int 80。不过这个扯的有点远，需要重载内核才可以。 2013-3-11 09:52 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 42 楼那块系统共享内存是系统最特殊的共享内存.我记得西裤有一文章专门写这块内存的.我这里写的只是一个思路.一种方法.**的可以由这个演变出很多种可能. 2013-3-11 10:46 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 43 楼能否给出西裤的网址，多谢了。 2013-3-12 10:14 0
WST 雪币： 247 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	WST 44 楼 Win8 可以试试应该是不可以的 2013-3-25 13:54 0
艾米哈柏雪币： 130 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 45 楼支持下。。。 2013-3-30 20:29 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 46 楼很不错了其实可以用HOOK库直接HOOK 和普通的inline hook 没太大区别 2013-4-7 19:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (45) ◀ 1 2
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 26 楼偶尔可以玩一下 2013-3-7 09:26 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 27 楼方法有人放出来了。 2013-3-7 09:57 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 28 楼弟子愿拜猥琐为师请收下我吧. 2013-3-7 11:40 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 29 楼下回放x64的么~ 2013-3-8 12:17 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 30 楼请问我这样调用你又怎么在ring3 hook我 mov eax,service_id lea edx,service_param int 2eh 2013-3-8 17:40 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 31 楼 360xx,tpxx,xxxxxxx 2013-3-8 17:59 0
WST 雪币： 247 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	WST 32 楼不支持Win8 系统 2013-3-8 18:06 0
prePhrackr 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	prePhrackr 33 楼此帖高能回复，小菜学习了。 2013-3-8 18:39 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 34 楼 hook来hook去的，R3,R0，像踢球一样，不带这么玩的，没意思 2013-3-8 23:07 0
CloudG 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	CloudG 35 楼有点意思。哈。。。。。 2013-3-9 14:29 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 36 楼 Thanks for share. 2013-3-10 14:15 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 37 楼一样啊.短跳再长跳..长度不够就换个长度够的 2013-3-10 16:01 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 38 楼改改就支持了. 2013-3-10 16:02 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 39 楼你没明白我意思，我的程序是活的啊，程序还可能有不同的版本，特征码，代码地址都可能不一样，也不会调用sysenter 2013-3-10 19:50 0
hellopen 雪币： 487 活跃值： (288) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 99 粉丝 0 关注私信	hellopen 40 楼 HOOK 虽然没意识，但还是比较实用的 2013-3-10 21:43 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 41 楼这个在OD里面试过，是无法修改的。不过如果不是所有的进程的那块内存都映射到同一个页面的话，在ring0修改，对单进程做hook还是非常方便的。不用sysenter，用int 2E，甚至改用int 80。不过这个扯的有点远，需要重载内核才可以。 2013-3-11 09:52 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 42 楼那块系统共享内存是系统最特殊的共享内存.我记得西裤有一文章专门写这块内存的.我这里写的只是一个思路.一种方法.**的可以由这个演变出很多种可能. 2013-3-11 10:46 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 43 楼能否给出西裤的网址，多谢了。 2013-3-12 10:14 0
WST 雪币： 247 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	WST 44 楼 Win8 可以试试应该是不可以的 2013-3-25 13:54 0
艾米哈柏雪币： 130 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 45 楼支持下。。。 2013-3-30 20:29 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 46 楼很不错了其实可以用HOOK库直接HOOK 和普通的inline hook 没太大区别 2013-4-7 19:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复