能力值:
( LV2,RANK:10 )
|
-
-
2 楼
where?
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
怎么不把它贴出来大家分享呀
:D :D :D
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
最初由 kkx2008 发布
怎么不把它贴出来大家分享呀
:D :D :D
http://www.blogcn.com/user17/pjf/blog/4603814.html
原来没贴出来,没注意
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
有哪位hook成了?贴贴代码阿
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
其实转变父进程的方法不是通过Hook 的技术,只是使用ZwCreateProcess 的时候改变了一下父进程而已。 楼主的想法很不错,做一个OD 的这种plug , 没有写过什么OD 插件,不过,我想有了上面提供的代码应该会比较容易写成OD 的插件。
1. 在OD 插件初始化的时候,得到OD 程序的ModuleName。
2、直接类似这样的调用就OK 了
UNICODE_STRING ImageFile;
RtlInitUnicodeString(&ImageFile, ODModuleName);
exec(&ImageFile, ExplorePID);
3、你是可以得到OD 的ModuleName 的,那么现在需要知道 Explore 的 PID ,可以通过这样的代码得到,这只是其中的一个得到的方法,好像在Nt 下面不行,不过得到一个process 的pid 的代码网上很多,随便serach 一下,就有很多 。
DWORD GetPidByName(char *szName)
{
HANDLE hProcessSnap = INVALID_HANDLE_VALUE;
PROCESSENTRY32 pe32={0};
DWORD dwRet=0;
hProcessSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if(hProcessSnap == INVALID_HANDLE_VALUE)return 0;
pe32.dwSize = sizeof(PROCESSENTRY32);
if(Process32First(hProcessSnap, &pe32))
{
do
{
if(StrCmpNI(szName,pe32.szExeFile,strlen(szName))==0)
{
dwRet=pe32.th32ProcessID;
break;
}
}while (Process32Next(hProcessSnap,&pe32));
}
else return 0;
if(hProcessSnap !=INVALID_HANDLE_VALUE)CloseHandle(hProcessSnap);
return dwRet;
}
希望早日见到这样的plug
|
能力值:
( LV9,RANK:210 )
|
-
-
7 楼
期待有下载。。。
|
能力值:
![]()
(RANK:10 )
|
-
-
8 楼
学习
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
为什么你们不自己做呢,这东西不难,一晚上就搞定了
|
能力值:
( LV13,RANK:970 )
|
-
-
10 楼
最初由 cgdxxx 发布
为什么你们不自己做呢,这东西不难,一晚上就搞定了
请大侠为大家奉献一晚上吧。。
|
能力值:
(RANK:10 )
|
-
-
11 楼
最初由 nbw 发布
请大侠为大家奉献一晚上吧。。
FCG进不去???
|
能力值:
( LV8,RANK:130 )
|
-
-
12 楼
flyodbg就可以 
|
|
|
|
