-
在Ring3下靠更改函数入口点为JMP XXX的方法HOOK API,其它函数都成功了,唯独像CreateRemoteThread和SetWindowsHookEx这种函数无法Hook成功,观察这两个函数的共同点都是参数里面有一个是其它过程的地址,我在想是不是由于正常函数被Hoo...全文
◆
◆
-
riceworm: DETOUR_TRAMPOLINE(HRESULT __stdcall Real_OleCreateLinkEx(struct IMoniker* a0, II...(2005-05-10 17:43)
-
riceworm: DETOUR_TRAMPOLINE(BOOL __stdcall Real_DrawStateA(HDC a0, HBRUSH a1, ...(2005-05-10 17:41)
-
riceworm:////////////////////////////////////////////////////////////////////////////// // // File: _win32.cpp // Source: win32.cpp /...(2005-05-10 17:34)
-
riceworm:晕(2005-05-10 17:18)
-
zhaock:呵呵,如果还搞不定,多给点分,把执行程序搞上来,这种问题,不需要代码跟踪一下也很easy,最好给debug版的(2005-05-10 17:14)
-
Astronomy:你把你最新的代码传上来,我看看 其实只要你熟悉汇编,用ice单步跟踪一下,这种问题很easy 呵呵,你说的是,但是hook Explorer的是公司的代码,我不敢 上传啊,反正思路就是为Explorer.exe创建一个远线程,然后 这个远线程的功能就是更改一些Exp...(2005-05-10 16:42)
-
zhaock:你把你最新的代码传上来,我看看 其实只要你熟悉汇编,用ice单步跟踪一下,这种问题很easy(2005-05-10 16:21)
-
Astronomy:要让Explorer调用CreateRemoteThread很简单,右键单击任务栏, 然后单击属性即可,感谢zhaock的帮忙,期待你的工程 [quote] 此案例怎么看有点像从detours改过来的啊,有修改好的工程可以传上来吗。你测试过其他函数可以hook吗,比...(2005-05-10 16:07)
-
Astronomy:我试了本进程,和其他进程,都没有问题 为什么声明成_stdcall,因为你要hook的函数是_stdcall, 要一致, 你的代码存在两个问题, 1.leCreateRemoteDllThread直接用,是不对的 2.RealFun,与你要hook的fun 声明不一致。...(2005-05-10 16:04)
-
riceworm:此案例怎么看有点像从detours改过来的啊,有修改好的工程可以传上来吗。你测试过其他函数可以hook吗,比如hook kernel32.dll中的WriteFile函数。(2005-05-10 15:56)
