[讨论]对《内核级HOOK的几种实现与应用》一文的疑问 HOOK, 内核, 疑问, 应用, 讨论

冰绿茶

[讨论]对《内核级HOOK的几种实现与应用》一文的疑问
议题作者：uncledo
见http://www.xfocus.net/articles/200303/499.html
这篇文章被转载了n次了，
3、 HOOK PE 方法
里面应该把MyStrchr函数改为strrchr函数，害得我在这想了很久（之前就有点模糊）
文章里的MyGetModuleBaseAddress函数应该当成工具函数记住，太有用了

我的疑问是 ：如何才能知道HookNtCreateFile函数成功了呢？
也就是怎样才能在dbgview里看到那句DbgPrint("Hook ZwCreateFile() \n");
帖子14 精华0 积分48 阅读权限40 在线时间124 小时 注册时间2007-6-15 最后登录2008-6-28 查看详细资料TOP 让女孩一夜变的更有女人味

achillis

晶莹剔透§烈日灼然

游大海

在你成功hook了NtCreateFile之后，你再随便写个程序调用CreateFile API，就会跳转到HookNtCreateFile()例程中，这时就能看到DbgView的输出了。

查看是否hook成功可以使用冰刃，gmer ,Rootkit Unhooker,Syscheck, WsSyscheck,超级巡警等可以看SSDT表的工具。如果成功的话，可以显示出来新的NtCreateFile()地址和所在模块，也就是你的驱动了。学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料TOP 少女暴富的隐秘（图）

better0332
晶莹剔透§烈日灼然