Board logo

标题: [讨论]对《内核级HOOK的几种实现与应用》一文的疑问 [打印本页]

作者: 冰绿茶    时间: 2008-7-23 08:27     标题: [讨论]对《内核级HOOK的几种实现与应用》一文的疑问

[讨论]对《内核级HOOK的几种实现与应用》一文的疑问
议题作者:uncledo
http://www.xfocus.net/articles/200303/499.html
这篇文章被转载了n次了,
3、 HOOK PE 方法
里面应该把MyStrchr函数改为strrchr函数,害得我在这想了很久(之前就有点模糊)
文章里的MyGetModuleBaseAddress函数应该当成工具函数记住,太有用了

我的疑问是 :如何才能知道HookNtCreateFile函数成功了呢?
也就是怎样才能在dbgview里看到那句DbgPrint("Hook ZwCreateFile() \n");
帖子14 精华0 积分48 阅读权限40 在线时间124 小时 注册时间2007-6-15 最后登录2008-6-28 查看详细资料TOP 让女孩一夜变的更有女人味

achillis

晶莹剔透§烈日灼然
作者: 游大海    时间: 2008-7-23 08:27

在你成功hook了NtCreateFile之后,你再随便写个程序调用CreateFile API,就会跳转到HookNtCreateFile()例程中,这时就能看到DbgView的输出了。

查看是否hook成功可以使用冰刃,gmer ,Rootkit Unhooker,Syscheck, WsSyscheck,超级巡警等可以看SSDT表的工具。如果成功的话,可以显示出来新的NtCreateFile()地址和所在模块,也就是你的驱动了。学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料TOP 少女暴富的隐秘(图)

better0332
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2