[原创]一个纯汇编写的Hook API的例子！！！-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]一个纯汇编写的Hook API的例子！！！

发表于: 2007-11-1 09:47 15543

[原创]一个纯汇编写的Hook API的例子！！！

zhtjia

2007-11-1 09:47

15543

查看主题内容

收藏・3

免费・8

支持

最新回复 (52) ◀ 1 2 3 ▶
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 26 楼希望大虾不吝赐教! 2007-11-4 12:44 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 27 楼郁闷 CreateFile(\"\\\\\\\\.\\\\Can1000\", GENERIC_READ \| GENERIC_WRITE, 0, NULL, OPEN_EXISTING, 0, NULL); 啥意思嘛。我的那个文件是D:\MyDrivers\driver1\objchk\i386\driver1.sys 怎么调用嘛。小弟我真菜哦。 2007-11-4 13:12 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 28 楼怎么那么多反斜杠。。。。 2007-11-4 16:47 0
天之上帝雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	天之上帝 29 楼汇编? 不会. 2007-11-4 18:04 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 30 楼用CreateFile是打开符号连接! 2007-11-4 20:11 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 31 楼如果我拿VB加载这个驱动会怎么样？ 2007-11-5 09:46 0
Ajampie 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 32 楼收藏了？？？？ 2007-11-5 12:19 0
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 33 楼 sub ecx,22e000h or ecx,ecx jnz @1 楼主ASM不及格啊…… 2007-11-6 11:26 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 34 楼谢谢drwch,这里是多此一举了 cmp ecx,22e000h jnz @1 2007-11-6 11:32 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 35 楼问一句，ＬＺ的代码是hook哪个函数？ 2007-11-6 16:48 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 36 楼 LZ代码是什么代码?可以传上来吗? 2007-11-6 17:14 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 37 楼 LZ就是楼主的意思,也就是你... 这句话的意思就是,你的代码是ssdt了哪个函数 2007-11-6 19:16 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 38 楼我还以为LZ是某某某的用户名呢? 不好意思,大家可不要笑我哦,楼上这位仁兄的语言实在太难懂了呵呵,开个玩笑 Hook的是NtCreateProcess 2007-11-6 20:20 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 39 楼 hook 的是ZwCreateProcessEx吧？ ZwCreateProcessEx proc near mov eax, 30h ; 系统服务号．． mov edx, 7FFE0300h call dword ptr [edx] retn 24h ZwCreateProcessEx endp NtCreateProcess的服务号是2FH 2007-11-6 21:05 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 40 楼没错,是NtCreateProcessEx 2007-11-6 21:31 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 41 楼 NtCreateProcess的服务号是2FH和ZwCreateProcessEx30h是有什么区别？？？？ 2007-11-7 08:51 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 42 楼强烈要求打楼主PP 2007-11-7 15:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 43 楼 ntcreateprocessex和zwcreateprocess的服务号难道不是一个东西么。。。号码不同是系统版本的差别。 2007-11-7 15:07 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 44 楼原来是这样。 2007-11-7 15:54 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 45 楼那么如何找到ntcreateprocessex的服务号呢？ 2007-11-7 15:55 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 46 楼 lkd> u ZwCreateProcessEx nt!ZwCreateProcessEx: 804dda7c b830000000 mov eax,30h 804dda81 8d542404 lea edx,[esp+4] 804dda85 9c pushfd 804dda86 6a08 push 8 804dda88 e8a41b0000 call nt!KiSystemService (804df631) 804dda8d c22400 ret 24h 2007-11-7 16:42 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 47 楼 3Q~ 还有个问题。前天我还能hook到。今天咋hook不到了？？？点那个apply没有反映了。 2007-11-7 18:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 48 楼大概是hips之类的惹得祸吧。。自己getlasterr下 2007-11-7 18:09 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 49 楼 3Q~ 还有个问题。前天我还能hook到。今天咋hook不到了？？？点那个apply没有反映了。 2007-11-7 18:11 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 50 楼可能是因为系统服务管理器里面已经有这个驱动的信息了,再次创建就会出错,所以会没有反映打开注册表,HKLM/SYSTEM/CUrrentControlSet/Service 在这里面找到相关信息删除,下次再启动的时候就可以了 2007-11-8 19:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zhtjia

发帖

232

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) ◀ 1 2 3 ▶
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 26 楼希望大虾不吝赐教! 2007-11-4 12:44 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 27 楼郁闷 CreateFile(\"\\\\\\\\.\\\\Can1000\", GENERIC_READ \| GENERIC_WRITE, 0, NULL, OPEN_EXISTING, 0, NULL); 啥意思嘛。我的那个文件是D:\MyDrivers\driver1\objchk\i386\driver1.sys 怎么调用嘛。小弟我真菜哦。 2007-11-4 13:12 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 28 楼怎么那么多反斜杠。。。。 2007-11-4 16:47 0
天之上帝雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	天之上帝 29 楼汇编? 不会. 2007-11-4 18:04 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 30 楼用CreateFile是打开符号连接! 2007-11-4 20:11 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 31 楼如果我拿VB加载这个驱动会怎么样？ 2007-11-5 09:46 0
Ajampie 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 32 楼收藏了？？？？ 2007-11-5 12:19 0
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 33 楼 sub ecx,22e000h or ecx,ecx jnz @1 楼主ASM不及格啊…… 2007-11-6 11:26 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 34 楼谢谢drwch,这里是多此一举了 cmp ecx,22e000h jnz @1 2007-11-6 11:32 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 35 楼问一句，ＬＺ的代码是hook哪个函数？ 2007-11-6 16:48 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 36 楼 LZ代码是什么代码?可以传上来吗? 2007-11-6 17:14 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 37 楼 LZ就是楼主的意思,也就是你... 这句话的意思就是,你的代码是ssdt了哪个函数 2007-11-6 19:16 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 38 楼我还以为LZ是某某某的用户名呢? 不好意思,大家可不要笑我哦,楼上这位仁兄的语言实在太难懂了呵呵,开个玩笑 Hook的是NtCreateProcess 2007-11-6 20:20 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 39 楼 hook 的是ZwCreateProcessEx吧？ ZwCreateProcessEx proc near mov eax, 30h ; 系统服务号．． mov edx, 7FFE0300h call dword ptr [edx] retn 24h ZwCreateProcessEx endp NtCreateProcess的服务号是2FH 2007-11-6 21:05 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 40 楼没错,是NtCreateProcessEx 2007-11-6 21:31 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 41 楼 NtCreateProcess的服务号是2FH和ZwCreateProcessEx30h是有什么区别？？？？ 2007-11-7 08:51 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 42 楼强烈要求打楼主PP 2007-11-7 15:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 43 楼 ntcreateprocessex和zwcreateprocess的服务号难道不是一个东西么。。。号码不同是系统版本的差别。 2007-11-7 15:07 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 44 楼原来是这样。 2007-11-7 15:54 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 45 楼那么如何找到ntcreateprocessex的服务号呢？ 2007-11-7 15:55 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 46 楼 lkd> u ZwCreateProcessEx nt!ZwCreateProcessEx: 804dda7c b830000000 mov eax,30h 804dda81 8d542404 lea edx,[esp+4] 804dda85 9c pushfd 804dda86 6a08 push 8 804dda88 e8a41b0000 call nt!KiSystemService (804df631) 804dda8d c22400 ret 24h 2007-11-7 16:42 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 47 楼 3Q~ 还有个问题。前天我还能hook到。今天咋hook不到了？？？点那个apply没有反映了。 2007-11-7 18:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 48 楼大概是hips之类的惹得祸吧。。自己getlasterr下 2007-11-7 18:09 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 49 楼 3Q~ 还有个问题。前天我还能hook到。今天咋hook不到了？？？点那个apply没有反映了。 2007-11-7 18:11 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 50 楼可能是因为系统服务管理器里面已经有这个驱动的信息了,再次创建就会出错,所以会没有反映打开注册表,HKLM/SYSTEM/CUrrentControlSet/Service 在这里面找到相关信息删除,下次再启动的时候就可以了 2007-11-8 19:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复