首页>编程与逆向>内核编程>如何替换Ntdll.dll 中的函数,并使之对所有进程有效
回复
« 返回列表
lghtly
lghtly
驱动牛犊
驱动牛犊
  • 注册日期2004-10-14
  • 最后登录2005-11-29
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望1点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:2958回复:3

如何替换Ntdll.dll 中的函数,并使之对所有进程有效

楼主#
更多 发布于:2004-11-29 15:38
如何替换Ntdll.dll 中的函数,并使之对所有进程有效,谢谢!!!!!!!!!!!!急!!!!!!!!!!!
喜欢0
回复
lghtly
lghtly
驱动牛犊
驱动牛犊
  • 注册日期2004-10-14
  • 最后登录2005-11-29
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望1点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2004-11-30 14:11
kernel32.dll中调用Ntdll.dll中的函数,若修改内存中的Ntdll.dll对进程来说是否已经无效,因为Kernel32.dll中已经映射了Ntdll.dll中输出函数的正确地址。

这种理解是否正确?
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2004-11-29 22:22
参考我以前的回复,避开COW.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
fslife
fslife
驱动大牛
驱动大牛
  • 注册日期2004-06-07
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望49点
  • 贡献值0点
  • 好评度20点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2004-11-29 16:11
我认为有两种方法:
1。静态替换:用微软的Detours工具包,直接把你的Ntdll.dll修改了,这样每一个进程用到的都是你改过的。
2。动态替换:hook每一个进程,在hook例程中hook ntdll.dll的函数。
在交流中学习。。。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部