-
-
[讨论]关于r3下hook函数LoadLiraryA问题
-
发表于: 2007-11-4 21:23
-
看了非安全的文章,用他的代码改成hook loadlirary(原来他是hook openprocess)的,不过有几个问题:
1,局部hook成功,但是全局hook的话,过会windows就会说:为了保护您的计算机,windows关闭XX程序..
2,在新的loadlirary函数中,如果不调用旧LoadLibrary,dll文件照样加载..
NowLoadLibrary proc dwDesiredAccess:DWORD
LOCAL NowApiBase
;计算备份DLL中的API地址
mov eax,Papi1
sub eax,Dllbase1
add eax,NowDllbase1
mov NowApiBase,eax
;调用备份DLL中的API
invoke StrStr,dwDesiredAccess,addr szDll ;是否是特定dll?如果是,则过滤
.if eax!=NULL
jmp _Go
.endif
push dwDesiredAccess ;经过调式,全局hook跳过这里,dll照样加载..郁闷
call NowApiBase
_Go:
ret
NowLoadLibrary endp
大家帮我弄成全局hook看看..我只能弄局部的...
1,局部hook成功,但是全局hook的话,过会windows就会说:为了保护您的计算机,windows关闭XX程序..
2,在新的loadlirary函数中,如果不调用旧LoadLibrary,dll文件照样加载..
NowLoadLibrary proc dwDesiredAccess:DWORD
LOCAL NowApiBase
;计算备份DLL中的API地址
mov eax,Papi1
sub eax,Dllbase1
add eax,NowDllbase1
mov NowApiBase,eax
;调用备份DLL中的API
invoke StrStr,dwDesiredAccess,addr szDll ;是否是特定dll?如果是,则过滤
.if eax!=NULL
jmp _Go
.endif
push dwDesiredAccess ;经过调式,全局hook跳过这里,dll照样加载..郁闷
call NowApiBase
_Go:
ret
NowLoadLibrary endp
大家帮我弄成全局hook看看..我只能弄局部的...
