关于ZoneAlarm Pro如何实现替换NdisRegisterProtocol的地址

楼主^#

更多发布于：2004-06-03 14:54

关于ZoneAlarm Pro如何实现替换NdisRegisterProtocol的地址？

ZoneAlarm Pro实现了对NdisRegisterProtocol的动态替换，
他没有使用Hook PE(使用ZwQuerySystemInformation查询基
地址，再修改Export Table）的方法。
有没有那位研究过他是如何实现的？

喜欢0

daviswjk

驱动牛犊

注册日期2003-03-26
最后登录2009-06-12
粉丝0
关注0
积分334分
威望64点
贡献值0点
好评度33点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2004-06-22 17:15

我也想知道

一切随风!

回复喜欢

tdcqupt 驱动牛犊注册日期2003-04-12 最后登录2008-02-18 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2004-06-07 16:52 asmsys老大，你好。我是通过跟踪和反汇编知道“他不是使用ZwQuerySystemInformation得到基址，再替换Export Table中NdisRegisterProtocol的方法。” ZoneAlarm Pro是和Norton知名度差不多的个人防火墙。多谢asmsys跟踪解答。
	回复(0) 喜欢(0)

lixiangying 驱动牛犊注册日期2002-05-03 最后登录2007-09-09 粉丝0 关注0 积分9分威望1点贡献值0点好评度1点原创分0分专家分0分加关注写私信	地板^# 发布于：2004-06-05 12:59 请问asmsys老大，假协议中的PtxxxHandler要不要真实的实现？我发现只hook其中的bind和unbind也可以工作，只是空的函数体。请指点。 thanks.
	回复(0) 喜欢(0)

asmsys 驱动老牛注册日期2002-03-29 最后登录2016-01-09 粉丝0 关注0 积分5分威望17点贡献值0点好评度8点原创分0分专家分0分加关注写私信	地下室^# 发布于：2004-06-04 12:37 ZoneAlarm Pro？没见过。如果你有源代码，就自己找找了。如果没有那“他不是使用ZwQuerySystemInformation得到基址，再替换Export Table中NdisRegisterProtocol的方法。” 该结论从何而来？
	回复(0) 喜欢(0)

tdcqupt

驱动牛犊

注册日期2003-04-12
最后登录2008-02-18
粉丝0
关注0
积分0分
威望0点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

5楼^#

发布于：2004-06-04 10:54

对，ZA是使用注册假协议的方法，但我想问的是：
注册假协议只是挂接我们的协议启动之前的协议，
而对启动之后启动的协议没有挂接。

ZA是如何对驱动启动之后的协议驱动进行挂接的？
他不是使用ZwQuerySystemInformation得到基址，再
替换Export Table中NdisRegisterProtocol的方法。

我想知道ZA是如果挂接NdisRegisterProtocol的。

老大，可以帮忙解答吗？

回复喜欢

asmsys 驱动老牛注册日期2002-03-29 最后登录2016-01-09 粉丝0 关注0 积分5分威望17点贡献值0点好评度8点原创分0分专家分0分加关注写私信	6楼^# 发布于：2004-06-03 17:14 那就是注册一个假协议的方法了。
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

关于ZoneAlarm Pro如何实现替换NdisRegisterProtocol的地址

最新喜欢：