-
-
[求助]HOSTS文件到底是谁读取了?WS2_32.DLL?
-
发表于:
2009-1-22 17:03
4821
-
[求助]HOSTS文件到底是谁读取了?WS2_32.DLL?
这个问题困惑了我几天 请大牛花几分钟 超度一下我!十分感谢!
先说下情况
随便写个GetHostByName 的程序,自己在OD里逆向
调用过程
1<jmp.&wsock32.WSAStartup> WSAStartup
2<jmp.&wsock32.gethostname> ; \gethostname
3<jmp.&wsock32.gethostbyname> ; \gethostbyname
4<jmp.&wsock32.WSACleanup> ;[WSACleanup
以上4步均F7跟进 在WS2_32里没有发现 读HOSTS
于是用 OD打开 WS2_32.dll 查找字符串 发现有
1,先读注册表
system\currentcontrolset\services\tcpip\parameters 下的 databasepath这个键值
2,也有GetSystemDirectoryA 之后 drivers\etc\ 这个目录下
然后fopen
把以上2个点 都NOP掉 发现还是读取HOSTS文件!
在下比较菜,水平只到这种程度,请给予帮助!谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
