[求助]此等菜鸟级SSDTHook问题，请大神不吝指教！别怪我不懂基础知识啊~-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
guozizheng 雪币： 88 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 1 关注私信	guozizheng 2 楼没人？？ 2014-8-14 11:23 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 3 楼 ZwDeviceIoControlFile 是导出函数啊 PVOID HookSSDTFuncion(PCWCHAR wFunName, PVOID MyFunction) { UNICODE_STRING FuncTionName; RtlInitUnicodeString(&FuncTionName, wFunName); LPVOID FunctionAddr = MmGetSystemRoutineAddress(&FuncTionName); if (FunctionAddr == NULL) { return NULL; } __try { DWORD dwIndex = (DWORD)((DWORD)FunctionAddr+1); // 抱歉，原来是Inline Hook的代码，直接copy了 return HookProcByAddress((PVOID)(KeServiceDescriptorTable.ServiceTableBase[dwIndex]), MyFunction); } __except(EXCEPTION_EXECUTE_HANDLER) { return NULL; } } HookSSDTFuncion( L"ZwDeviceIoControlFile", LYH_ZwDeviceIoControlFile); 2014-8-14 11:41 0
guozizheng 雪币： 88 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 1 关注私信	guozizheng 4 楼如果用那个代码里的ZwDeviceIoControlFile_num那种HOOK方法，win7该取多少？求教 2014-8-15 17:01 0
大师扛把子雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	大师扛把子 5 楼我过来顶一下!新人来看看! 2014-8-15 17:13 0
晴雨F 雪币： 90 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 76 粉丝 1 关注私信	晴雨F 6 楼去多看写教程吧！！ 2014-8-15 21:07 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 7 楼仔细看代码 DWORD dwIndex = (DWORD)((DWORD)FunctionAddr+1); 这句就是取出你要的 ZwDeviceIoControlFile_num 还有你hook的根本不是 ZwDeviceIoControlFile 函数，而是他下层的 NtDeviceIoControlFile 2014-8-15 23:29 0
guozizheng 雪币： 88 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 1 关注私信	guozizheng 8 楼真的吗，我输出下试试，谢谢大神的帮忙！！ 2014-8-17 18:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
guozizheng 雪币： 88 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 1 关注私信	guozizheng 2 楼没人？？ 2014-8-14 11:23 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 3 楼 ZwDeviceIoControlFile 是导出函数啊 PVOID HookSSDTFuncion(PCWCHAR wFunName, PVOID MyFunction) { UNICODE_STRING FuncTionName; RtlInitUnicodeString(&FuncTionName, wFunName); LPVOID FunctionAddr = MmGetSystemRoutineAddress(&FuncTionName); if (FunctionAddr == NULL) { return NULL; } __try { DWORD dwIndex = (DWORD)((DWORD)FunctionAddr+1); // 抱歉，原来是Inline Hook的代码，直接copy了 return HookProcByAddress((PVOID)(KeServiceDescriptorTable.ServiceTableBase[dwIndex]), MyFunction); } __except(EXCEPTION_EXECUTE_HANDLER) { return NULL; } } HookSSDTFuncion( L"ZwDeviceIoControlFile", LYH_ZwDeviceIoControlFile); 2014-8-14 11:41 0
guozizheng 雪币： 88 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 1 关注私信	guozizheng 4 楼如果用那个代码里的ZwDeviceIoControlFile_num那种HOOK方法，win7该取多少？求教 2014-8-15 17:01 0
大师扛把子雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	大师扛把子 5 楼我过来顶一下!新人来看看! 2014-8-15 17:13 0
晴雨F 雪币： 90 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 76 粉丝 1 关注私信	晴雨F 6 楼去多看写教程吧！！ 2014-8-15 21:07 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 7 楼仔细看代码 DWORD dwIndex = (DWORD)((DWORD)FunctionAddr+1); 这句就是取出你要的 ZwDeviceIoControlFile_num 还有你hook的根本不是 ZwDeviceIoControlFile 函数，而是他下层的 NtDeviceIoControlFile 2014-8-15 23:29 0
guozizheng 雪币： 88 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 1 关注私信	guozizheng 8 楼真的吗，我输出下试试，谢谢大神的帮忙！！ 2014-8-17 18:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]此等菜鸟级SSDTHook问题，请大神不吝指教！别怪我不懂基础知识啊~ 0.00雪花