能力值:
( LV2,RANK:10 )
|
-
-
26 楼
学习学习
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
最初由 foxabu 发布
除了这种方法以外还可以挂载一个微型反汇编器 得到多于8个字节的完整汇编指令长度 处理完成以后先加载这段代码然后跳到8个字节后边的代码执行
呵呵,我和foxabu有同样的想法,不过如果API代码的开头复杂点的话,可能要处理一下。
|
能力值:
( LV12,RANK:450 )
|
-
-
28 楼
灌一下水,呵呵.
微软研究中心的开源项目Detours有对这种修改API开头代码实现API钩子的完整解决方案,推荐使用.
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
 终于找到我要的资料了
|
能力值:
( LV13,RANK:380 )
|
-
-
30 楼
喜欢玩Hook,就Hook一个ntoskrnl.exe中的函数NtDeviceIoControl吧,这是万能的;喜欢改系统DLL,就改系统内存区System Service Table吧,这是万能的。
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
最初由 tnttools 发布
喜欢玩Hook,就Hook一个ntoskrnl.exe中的函数NtDeviceIoControl吧,这是万能的;喜欢改系统DLL,就改系统内存区System Service Table吧,这是万能的。
呵呵,这些我都不会呀,不过先收下了。以后慢慢研究
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
楼主的网络硬盘已经被锁定,能登陆一下解锁吗?很想看你的源码,谢谢。
另外,谁已经下载了的,能不能以附件的形式提供一下啊,谢谢了。。。
|
能力值:
( LV12,RANK:330 )
|
-
-
33 楼
请教各位一个问题,我尝试JMP HOOK一个进程的所有DLL中的所有API,是用JMP的方法,不过不是跳回原DLL,而是将DLL改名并loadlibrary,然后JMP到新库中去,不过奇怪的是程序无法运行,会出错,好象只要不HOOK kernel32.dll就不会出错,不知这是什么原因????
是否因为loadlibrary加载库的全局变量初始化和原库不同导致???
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
再顶一下,很想楼主出来一下,谢谢。
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
不好意思,我登陆了一下,现在应该可以了!
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
谢谢老大,已经下载到了您的大作,一定学习,谢谢。。
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
楼主的网络硬盘已经被锁定,能登陆一下解锁吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
好了,可以试试
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
谢谢,可以啦!
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
我下载了一个,在 vmware 98 下会出错,想问问,这钟hook方法可以在 98 下用吗 ? 还是 vmware 问题,
run HookDeviceIoControl.exe 时出现 “virtulprotect-READWRITE”错误
run HardID.exe 出现
HARDID caused an invalid page fault in
module HARDID.EXE at 0167:00401167.
Registers:
EAX=ffc1801c CS=0167 EIP=00401167 EFLGS=00010282
EBX=00401000 SS=016f ESP=0063f8ec EBP=0063fe38
ECX=00000000 DS=016f ESI=00000000 FS=0f67
EDX=00000000 ES=016f EDI=0040b564 GS=0000
Bytes at CS:EIP:
66 89 58 fc c1 eb 10 66 89 58 02 5b cc 51 8b 0d
Stack dump:
0063f9ac 00000000 0063f9ac 0040110a 0040ab50 00000000 00530000 0040167d 0063f9ac 00000000 00000000 00000094 00000004 0000000a 040a08ae 00000001
|
|
|
|
