我假设读者已经非常熟悉detours,阅读此文只是为了增强对detours的理解以及为了实现x64 hook。有关detours原理部分不再多讲。X86 Kernel Hook早些年,我把detours1.5移植到x86核心层,工作的不错,我一直用它来hook系统一些内部函数...
全文
回复(9) 2007-02-09 14:08 来自版块 - 内核编程
表情
tiamo这文章是转载的?而且是翻译的过来的? 好像有些地方说的不对吧.. detours x86的第二点和第三点缺陷是怎么回事情? 第二个部分怎么会跳到int3上去? 确实detours里面只有反编译器没有解释执行的功能.但是这足够了... detours会修改前5个字节为一个jmp...(2008-10-19 05:25)
mopyman64位下的jmp [64_address]的操作码应该是FF 25,FF 15是CALL的操作码!(2008-10-16 15:05)
wowocock在VISTA64下测试看看,一般不HOOK NTOS的一般问题不大,MS不可能保护每个驱动......(2007-03-01 19:47)
HuYuguang找到一篇文章,里面非常详细的描述了patch guard的原理。 http://www.mrspace.net/index.php?job=art&articleid=a_20061211_105134 Bypassing PatchGuard on Windows ...(2007-02-28 14:26)
HuYuguang有人可以详细说说kernel patch guard吗? 我在win2k3 sp1 64bits上 用前面所说的方法 hook SrvIoCreateFile@srv.sys,没有遇到任...(2007-02-28 12:04)
wowocock最重要的是有好点的64位反汇编引擎,还有那该死的PATCHGUARD其他都好办......(2007-02-12 11:47)
HuYuguang因为14字节的限制太大,以至于始终觉得不爽。后来想到了一个解决方案。 假设原函数是old_func,新函数是new_func,那么分配trampoline的时候,用某些技术方法,限定分配出的内存和old_func在同一个4G。可以通过VirtualAlloc实现,具体方法可以是...(2007-02-10 18:40)
xikug学习了。。。(2007-02-09 21:22)
firabc不错,学习了(2007-02-09 14:35)

返回顶部