首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]必备绝技——hook大法( 中 )
发表于: 2007-4-9 23:37 193632

[原创]必备绝技——hook大法( 中 )

Lvg 活跃值
5
2007-4-9 23:37
193632

查看主题内容

收藏
免费 7
支持
分享
最新回复 (189)
jallon
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
101
先祝福大家新年快乐,再感谢楼主的帖子。
2008-2-2 17:06
0
悠扬笛曲
雪    币: 223
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
102
好文,值得回味!
2008-2-13 13:51
0
侃学二二
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
103
学习了,谢谢提供。
2008-2-13 14:24
0
救世猪
雪    币: 224
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
104
楼主,cr0控制寄存器的格式好像有错误
它的位16是WP位,是写保护,将其复位后,则可以进行写操作了
2008-4-13 14:30
0
烽火sheng
雪    币: 302
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
105
天书看不懂....强大...支持....
2008-5-12 18:12
0
ilovedrv
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
106
好文啊,楼主太强了
2008-5-13 18:29
0
askdyhw
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
107
厉害啊,学习学习
2008-7-20 18:02
0
hurryhx
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
108
楼主,我脑子比较笨,有个问题不解,请教:
  #define SYSTEMSERVICE(_func) \
          KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1)]
以及下面几个宏,为什么都+1呢?这个+1是什么意思呢?
2008-8-3 11:17
0
lixupeng
雪    币: 563
活跃值: (95)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
109
学习下
2008-8-3 12:30
0
漫舞天际
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
110
虽然看不太懂,但很想学,收藏+慢慢学
2008-8-3 21:04
0
vcfan
雪    币: 109
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
111
这么好的资料,严重支持。
2008-8-10 03:14
0
qjmotor
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
112
看不懂,纯支持下,辛苦了
2008-8-10 22:30
0
rdotzues
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
113
好文阿,顶顶顶!!!

不过ssdt hook程序里有个小问题,连续开n个_root_开头程序只会隐藏n/2+1个,就是说还会有n/2个显示在任务管理器里。

if(curr->NextEntryDelta)
{
              prev->NextEntryDelta += curr->NextEntryDelta;
             curr=prev;
}
不过这跟文章的主题没多大关系拉!

__declspec(dllimport) SSDT_Entry KeServiceDescriptorTable;
谁能告诉我相应的asm代码怎么写?不太明白vc!难不成dllimport是c++关键字?
2008-8-27 21:58
0
rdotzues
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
114
[QUOTE=hurryhx;490988]楼主,我脑子比较笨,有个问题不解,请教:
  #define SYSTEMSERVICE(_func) \
          KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1)]
以及下面几个宏,为什么都...[/QUOTE]

这两个宏之所以能工作,是因为所有的Zw*函数都开始于opcode:MOV eax, ULONG,这里的ULONG就是系统调用函数在SSDT中的索引。

_func+1就是指向ULONG
2008-8-27 22:07
0
愤怒菜板
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
115
分析的非常清晰,谢谢
2008-8-29 11:26
0
captaincp
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
116
谢谢楼主,很不错
2008-12-4 21:01
0
jordanpz
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
117
ok ,thanks ,..
2008-12-5 14:09
0
chwljy
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
118
呵呵,我刚想研究这东西呢,谢谢楼主
2008-12-5 21:22
0
yaolibing
雪    币: 252
活跃值: (13)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
119
学习啦,很好啊
2008-12-15 23:43
0
machfe
雪    币: 212
活跃值: (31)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
120
mark 学习啊
2008-12-16 17:36
0
放飞希望
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
121
学习学习
谢谢楼主
2008-12-21 13:59
0
yxhxiaoqi
雪    币: 208
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
122
牛人的就是不一样!
2008-12-27 14:47
0
leolsj
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
123
简洁高深!楼主这样的高人只是普通会员,看来这里的水深哪!
2008-12-27 22:01
0
Shminow
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
124
不错不错  
2009-2-3 21:03
0
leemichael
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
125
我想问个问题,我在XP SP3下测试了一个,我用的是DRIVER MONITOR加载的驱动,可是提示error(127): 找不到指定的程序

这是为什么呢?

我在以前写过的一个驱动里调用了ntSuspendThread()也出现过这种情况,高手来帮分析一下啊!
2009-4-7 19:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//