[求助]把ObReferenceObjectByHandle HOOK了咋个还是不能防止进程被结束呢?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (35) ◀ 1 2
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 26 楼 Hook函数尾不是不可以啊 2009-3-7 09:31 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 27 楼 LZ还是求某牛放血吧，这样马甲下去也不是办法啊 2009-3-7 13:15 0
cosay 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	cosay 28 楼搞定~!借用cschenhui的代码果然成功了原来是忘了考虑bojecttype为空的情况~哎~~ 麻烦大家了问题解决~!谢~! 2009-3-7 14:23 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 29 楼要看情况，如果有返回Buffer的一般都可以 2009-3-7 20:53 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 30 楼至少我用了，都BSOD 很多次了，不敢用到实际中去啊 2009-3-8 11:06 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 31 楼肯定代码有问题现在HOOK这个函数的工具不少都很稳定 2009-3-8 20:23 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 32 楼我用的是Sysnap 这篇文章的代码: http://bbs.pediy.com/showthread.php?t=65731 至少BSOD 好些次. 也只能看看.不能拿到实际中用. 2009-3-10 02:22 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 33 楼我看了下你说的文章，这篇文章写得不错。但是感觉HOOK的方法不是很对，采用了3环下的一种替换函数头部指令，当需要执行原函数又恢复的方法，这里存在一定的不稳定性，在多核下很容易出问题。我觉得应该只需要更改一次函数就可以了，这样HOOK的方法就要换一下 __declspec (naked) xxxxx() { mov eax,ObReferenceObjectByHandle add eax,5 jmp eax } 把这个单独成一个函数。HOOK开始先把原函数执行。 _asm{ push [ebp+1ch] push [ebp+18h] push [ebp+14h] push [ebp+10h] push [ebp+0ch] push [ebp+08h] call xxxxx mov ntStatus,eax } if (NT_SUCCESS(ntStatus)) { ....在这里判断是你需要保护的或者HOOK的就把*Object=NULL;就OK了然后给个错误返回值。 2009-3-10 09:42 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 34 楼谢谢，不过我没有翻译成功。 2009-3-11 02:10 0
majiming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	majiming 35 楼发现楼猪的马甲了。 2009-3-11 10:52 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 36 楼看不懂？？已经说得很明白了 2009-3-11 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (35) ◀ 1 2
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 26 楼 Hook函数尾不是不可以啊 2009-3-7 09:31 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 27 楼 LZ还是求某牛放血吧，这样马甲下去也不是办法啊 2009-3-7 13:15 0
cosay 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	cosay 28 楼搞定~!借用cschenhui的代码果然成功了原来是忘了考虑bojecttype为空的情况~哎~~ 麻烦大家了问题解决~!谢~! 2009-3-7 14:23 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 29 楼要看情况，如果有返回Buffer的一般都可以 2009-3-7 20:53 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 30 楼至少我用了，都BSOD 很多次了，不敢用到实际中去啊 2009-3-8 11:06 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 31 楼肯定代码有问题现在HOOK这个函数的工具不少都很稳定 2009-3-8 20:23 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 32 楼我用的是Sysnap 这篇文章的代码: http://bbs.pediy.com/showthread.php?t=65731 至少BSOD 好些次. 也只能看看.不能拿到实际中用. 2009-3-10 02:22 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 33 楼我看了下你说的文章，这篇文章写得不错。但是感觉HOOK的方法不是很对，采用了3环下的一种替换函数头部指令，当需要执行原函数又恢复的方法，这里存在一定的不稳定性，在多核下很容易出问题。我觉得应该只需要更改一次函数就可以了，这样HOOK的方法就要换一下 __declspec (naked) xxxxx() { mov eax,ObReferenceObjectByHandle add eax,5 jmp eax } 把这个单独成一个函数。HOOK开始先把原函数执行。 _asm{ push [ebp+1ch] push [ebp+18h] push [ebp+14h] push [ebp+10h] push [ebp+0ch] push [ebp+08h] call xxxxx mov ntStatus,eax } if (NT_SUCCESS(ntStatus)) { ....在这里判断是你需要保护的或者HOOK的就把*Object=NULL;就OK了然后给个错误返回值。 2009-3-10 09:42 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 34 楼谢谢，不过我没有翻译成功。 2009-3-11 02:10 0
majiming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	majiming 35 楼发现楼猪的马甲了。 2009-3-11 10:52 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 36 楼看不懂？？已经说得很明白了 2009-3-11 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复