[调查]关于钩子的质疑-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
zcUDer 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	zcUDer 2 楼不是这个意思，每个应用程序运行后，kernel32之类的dll被映射到进程中的内存里，你修改了pe头部，仅仅是修改了映射到当前进程中的虚拟内存中dll中的函数头，真正的kernel32.dll没被修改。每个进程都有4g的虚拟内存空间，而且和其他进程互不相关。修改了当前进程中的数据对其他进程没影响，对真正的 kernel32.dll也是么影响的 2008-10-22 12:02 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 3 楼这就是虚拟内存的原因。自己可以看看虚拟内存管理器的知识。 2008-10-22 14:14 0
subwin 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 58 粉丝 0 关注私信	subwin 4 楼这样的(以下地址均为假设)： 00401000 push eax 00401001 push eax 00401002 push eax 00401003 push eax 00401000 call 00401173(Call MessageBoxA) 00401173 jmp 7C007283(user32.MessageBoxA) 7C007283 mov edi,edi 7C007285 push ebp 我修改的 7C007283 应该是修改了user32.dll吧？ 2008-10-22 14:48 0
subwin 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 58 粉丝 0 关注私信	subwin 5 楼顺便问下知道一个线程的线程名如何得到它的PID？ 2008-10-22 14:51 0
zcUDer 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	zcUDer 6 楼 [QUOTE][引用: 最初由烁皓发布这就是虚拟内存的原因。自己可以看看虚拟内存管理器的知识。... 这样的(以下地址均为假设)： 00401000 push eax 00401001 push eax 00401002 push eax 00401003 push eax 00401000 call 00401173(Call MessageBoxA) 00401173 jmp 7C007283(user32.MessageBoxA) 7C007283 mov edi,edi 7C007285 push ebp 我修改的 7C007283 应该是修改了user32.dll吧？ /QUOTE] 没明白什么意思根据线程的句柄获取进程id可以调用GetProcessIdOfThread() 原形如下：DWORD GetProcessIdOfThread(HANDLE Thread); 查msdn吧 2008-10-22 15:09 0
EndlessCrash 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 1 关注私信	EndlessCrash 7 楼这些DLL的页面都有COPY_ON_WRITE属性,当向其中写入的时候,Windows会复制一份,在复制的那一份里面满足你的写要求.公共的部分不受影响. 2008-10-23 13:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
zcUDer 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	zcUDer 2 楼不是这个意思，每个应用程序运行后，kernel32之类的dll被映射到进程中的内存里，你修改了pe头部，仅仅是修改了映射到当前进程中的虚拟内存中dll中的函数头，真正的kernel32.dll没被修改。每个进程都有4g的虚拟内存空间，而且和其他进程互不相关。修改了当前进程中的数据对其他进程没影响，对真正的 kernel32.dll也是么影响的 2008-10-22 12:02 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 3 楼这就是虚拟内存的原因。自己可以看看虚拟内存管理器的知识。 2008-10-22 14:14 0
subwin 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 58 粉丝 0 关注私信	subwin 4 楼这样的(以下地址均为假设)： 00401000 push eax 00401001 push eax 00401002 push eax 00401003 push eax 00401000 call 00401173(Call MessageBoxA) 00401173 jmp 7C007283(user32.MessageBoxA) 7C007283 mov edi,edi 7C007285 push ebp 我修改的 7C007283 应该是修改了user32.dll吧？ 2008-10-22 14:48 0
subwin 雪币： 175 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 58 粉丝 0 关注私信	subwin 5 楼顺便问下知道一个线程的线程名如何得到它的PID？ 2008-10-22 14:51 0
zcUDer 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	zcUDer 6 楼 [QUOTE][引用: 最初由烁皓发布这就是虚拟内存的原因。自己可以看看虚拟内存管理器的知识。... 这样的(以下地址均为假设)： 00401000 push eax 00401001 push eax 00401002 push eax 00401003 push eax 00401000 call 00401173(Call MessageBoxA) 00401173 jmp 7C007283(user32.MessageBoxA) 7C007283 mov edi,edi 7C007285 push ebp 我修改的 7C007283 应该是修改了user32.dll吧？ /QUOTE] 没明白什么意思根据线程的句柄获取进程id可以调用GetProcessIdOfThread() 原形如下：DWORD GetProcessIdOfThread(HANDLE Thread); 查msdn吧 2008-10-22 15:09 0
EndlessCrash 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 1 关注私信	EndlessCrash 7 楼这些DLL的页面都有COPY_ON_WRITE属性,当向其中写入的时候,Windows会复制一份,在复制的那一份里面满足你的写要求.公共的部分不受影响. 2008-10-23 13:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [调查]关于钩子的质疑 0.00雪花