版块
论坛
喜欢
话题
应用
搜索
登录
注册
boywhp的个人空间
访问量
13
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=176017
SSDT HOOK的一些想法,希望大牛帮忙看看
我HOOK SSDT后,常规的就是获取调用该函数的进程,但是这往往不够我希望获取调用该函数的具体模块名,我的想法是1、反向跟踪用户态堆栈-》获取函数调用关系【类似windbg的堆栈功能】这个比较cool,不知可有哪位兄弟研究过没有?貌似比较复杂啊2、或者当前进程的调用线程以及线程...
全文
回复
(
6
)
2008-07-23 09:55
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
boywhp
:
老V啊?什么寄存器? 怎么得到当前线程的Win32StartAddress地址啊?不会要硬编码吧?找了下好像有个PsGetContextThread什么的,但是又不导出,其他什么的都要一个HANDLE ThreadHandle的东西,貌似我只有ETHR...
(2008-07-29 18:48)
回复
wowocock
:
如果在VISTA下都可以的话,那一般问题就不大了。
(2008-07-29 09:50)
回复
boywhp
:
KeGetCurrent->win32startaddress 然后根据进程模块内存分布情况获取调用模块,不知老V看看可否?下面是windbg输出 Thread:815d2020 Process-815d2660 peb-7ffdf000 ldr-00071e90 modL...
(2008-07-28 20:30)
回复
killvxk
:
读取某个寄存器,当然这个寄存器里只有调ntdll.dll的那个地址了,没有ntdll.dll做sysentry的地址。你可以仔细研究下。
(2008-07-26 09:25)
回复
killvxk
:
第一个很难实现,第二个很容易做到~~ 不过有些时候CurrentThread是会成为ntdll.dll的~~嘿嘿~~ 所以需要更好的方法,就是Attack到进程上面,然后利用寄存器读取法,读出XX。 然后自己读取进程空间的ring3下的那个堆栈,完了说完了——我现在网游的反作弊就...
(2008-07-26 09:20)
回复
boywhp
:
估计是我想法比较难实现???还是大牛们都忙于吃草???hoho 还是期待我自己搞定发源码吧
(2008-07-25 16:33)
回复
boywhp
加关注
写私信
0
关注
2
粉丝
340
帖子
返回顶部