标题:
[讨论]对《内核级HOOK的几种实现与应用》一文的疑问
[打印本页]
作者:
冰绿茶
时间:
2008-7-23 08:27
标题:
[讨论]对《内核级HOOK的几种实现与应用》一文的疑问
[讨论]对《内核级HOOK的几种实现与应用》一文的疑问
议题作者:uncledo
见
http://www.xfocus.net/articles/200303/499.html
这篇文章被转载了n次了,
3、 HOOK PE 方法
里面应该把MyStrchr函数改为strrchr函数,害得我在这想了很久(之前就有点模糊)
文章里的MyGetModuleBaseAddress函数应该当成工具函数记住,太有用了
我的疑问是 :如何才能知道HookNtCreateFile函数成功了呢?
也就是怎样才能在dbgview里看到那句DbgPrint("Hook ZwCreateFile() \n");
帖子14 精华
0
积分48 阅读权限40 在线时间124 小时 注册时间2007-6-15 最后登录2008-6-28
查看详细资料
TOP
让女孩一夜变的更有女人味
achillis
晶莹剔透§烈日灼然
作者:
游大海
时间:
2008-7-23 08:27
在你成功hook了NtCreateFile之后,你再随便写个程序调用CreateFile API,就会跳转到HookNtCreateFile()例程中,这时就能看到DbgView的输出了。
查看是否hook成功可以使用冰刃,gmer ,Rootkit Unhooker,Syscheck, WsSyscheck,超级巡警等可以看SSDT表的工具。如果成功的话,可以显示出来新的NtCreateFile()地址和所在模块,也就是你的驱动了。学习中.......
帖子54 精华
0
积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18
查看详细资料
TOP
少女暴富的隐秘(图)
better0332
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2