[原创]Ring3下Inline Hook MessageBox(演示)-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼沙发强帖留名！！ 2008-7-30 21:15 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 3 楼似乎这样的代码网上有一大堆``` 2008-7-31 09:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 4 楼一时看成ring0下inline hook messagebox 2008-7-31 10:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼如果ring0下hook的话，我是这么想的，设置LoadImageNofity，然后检测到模块载入后就检查其输入表是否有user32.dll，若有再判断是否有MessageBox，若有就hook之．最多也就是一个在进程空间中，一个在内核空间，读写和修改方式不太一样而已吧，不过应该也差不多．　不知说得对不对？还没实践～ 2008-7-31 13:21 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 6 楼 detour. 2008-7-31 14:55 0
neverqq 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	neverqq 7 楼这样代码网上很多的 2008-8-1 08:33 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 8 楼网上也找过,但没有这么清楚的啊,新手想找的只是一个简单的DEMO,而网上的那些可长了,都看不清哪是哪的,注释也很简想想和我一样水平的人,呵呵,就贴出来了 2008-8-1 08:39 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼嗯,谢谢分享你的学习成果~ 有交流才有进步嘛 2008-8-1 08:46 0
caseshadow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	caseshadow 10 楼 __declspec(naked) int jmp_back() { __asm { _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 } } 我用CB编译的时候提示我 _emit 0x90语法错误，各位大侠怎么回事？ 2008-8-11 12:17 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 11 楼 CB? 没研究过，可能在内联汇编时有不同吧 VC下通过 2008-8-15 10:50 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 12 楼内联的和修改IAT的两种方法的差异是不是效率呢？ 2008-8-15 10:59 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 13 楼在RING3下全局HOOK的话,还是IAT吧,方便 INLINE也有一种方法是直接可以写入物理空间,一次性修改,全局通用 2008-8-17 18:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼沙发强帖留名！！ 2008-7-30 21:15 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 3 楼似乎这样的代码网上有一大堆``` 2008-7-31 09:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 4 楼一时看成ring0下inline hook messagebox 2008-7-31 10:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼如果ring0下hook的话，我是这么想的，设置LoadImageNofity，然后检测到模块载入后就检查其输入表是否有user32.dll，若有再判断是否有MessageBox，若有就hook之．最多也就是一个在进程空间中，一个在内核空间，读写和修改方式不太一样而已吧，不过应该也差不多．　不知说得对不对？还没实践～ 2008-7-31 13:21 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 6 楼 detour. 2008-7-31 14:55 0
neverqq 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	neverqq 7 楼这样代码网上很多的 2008-8-1 08:33 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 8 楼网上也找过,但没有这么清楚的啊,新手想找的只是一个简单的DEMO,而网上的那些可长了,都看不清哪是哪的,注释也很简想想和我一样水平的人,呵呵,就贴出来了 2008-8-1 08:39 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼嗯,谢谢分享你的学习成果~ 有交流才有进步嘛 2008-8-1 08:46 0
caseshadow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	caseshadow 10 楼 __declspec(naked) int jmp_back() { __asm { _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 _emit 0x90 } } 我用CB编译的时候提示我 _emit 0x90语法错误，各位大侠怎么回事？ 2008-8-11 12:17 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 11 楼 CB? 没研究过，可能在内联汇编时有不同吧 VC下通过 2008-8-15 10:50 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 12 楼内联的和修改IAT的两种方法的差异是不是效率呢？ 2008-8-15 10:59 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 13 楼在RING3下全局HOOK的话,还是IAT吧,方便 INLINE也有一种方法是直接可以写入物理空间,一次性修改,全局通用 2008-8-17 18:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复