版块
论坛
喜欢
话题
应用
搜索
登录
注册
pengxiao_007的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=80644
有人知道如何将一个已经被HOOK了的API函数的地址还原吗?
如果一个系统API函数已经被某个程序HOOK了,有办法绕过HOOK程序直接调用原API函数吗?
回复
(
3
)
2004-10-18 14:58
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
pengxiao_007
:
我也不知道别人的软件是采用什么方式hook的api,比如象瑞星这种杀毒软件就是hook了TerminateProcess()等api
(2004-10-19 10:08)
回复
snowStart
:
可以的,不过要对系统很熟,apihook的一般过程: 扫描dll文件的head,得到需要挂接的api入口地址,把这个地址的前几个字节改为 jmp之类的命令,转到自己的模块中执行,退出时回写api入口的几个字节,再转跳回来,ok,当然实际过程要复杂一些,比如环境的还原之类的! ...
(2004-10-18 22:40)
回复
xiangshifu
:
可以的,不过要对系统很熟,apihook的一般过程: 扫描dll文件的head,得到需要挂接的api入口地址,把这个地址的前几个字节改为 jmp之类的命令,转到自己的模块中执行,退出时回写api入口的几个字节,再转跳回来,ok,当然实际过程要复杂一些,比如环境的还原之类的! ...
(2004-10-18 17:59)
回复
pengxiao_007
加关注
写私信
0
关注
0
粉丝
15
帖子
返回顶部