谁能说说如何在win2K中Hook系统API？譬如ZwQueryDirectoryFile

楼主^#

更多发布于：2002-10-14 10:40

对前面一个大侠sinister的文章没看懂：
“
查找进程，目录/文件，注册表等操作系统将最终调用 ZwQueryDirectoryFile，ZwQuerySystemInformation，
ZwXXXValueKey 等函数。要想拦截这些函数达到隐藏目的，需先自己实现以上函数，并修改系统维护的一个
SYSCALL 表使之指向自己预先定义的函数。因 SYSCALL 表在用户层不可见，所以要写 DRIVE 在 RING 0 下
才可修改。关于如何修改已有文章详细介绍过，这里不在详述。
”

不胜感激！

喜欢0

yuanyuan 驱动大牛注册日期2003-01-15 最后登录2010-08-04 粉丝0 关注0 积分1025分威望300点贡献值0点好评度232点原创分0分专家分0分加关注写私信	沙发^# 发布于：2003-04-06 21:36 对,filemon不是api hook
	回复(0) 喜欢(0)

vcmfc 驱动中牛注册日期2001-03-23 最后登录2008-01-28 粉丝0 关注0 积分528分威望53点贡献值0点好评度52点原创分0分专家分0分加关注写私信	板凳^# 发布于：2003-04-06 20:43 楼上兄弟：filemon使用不同的技术。
	回复(0) 喜欢(0)

vcmfc 驱动中牛注册日期2001-03-23 最后登录2008-01-28 粉丝0 关注0 积分528分威望53点贡献值0点好评度52点原创分0分专家分0分加关注写私信	地板^# 发布于：2003-04-06 20:42 最接近你的是：rootkit,你看一看它的source，再不行看regmon.
	回复(0) 喜欢(0)

lonewolf1008 驱动牛犊注册日期2003-03-29 最后登录2003-04-12 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2003-04-05 14:50 去http://webcrazy.yeah.net看看吧，那儿好像有两篇文章讲这个，而且好像Regmon和Filemon也是利用了这个原理
	回复(0) 喜欢(0)

yuanyuan 驱动大牛注册日期2003-01-15 最后登录2010-08-04 粉丝0 关注0 积分1025分威望300点贡献值0点好评度232点原创分0分专家分0分加关注写私信	5楼^# 发布于：2003-02-22 22:39 是啊
	回复(0) 喜欢(0)

guardee 驱动巨牛注册日期2002-11-08 最后登录2010-05-29 粉丝2 关注1 积分2分威望34点贡献值0点好评度6点原创分0分专家分0分加关注写私信	6楼^# 发布于：2002-10-31 13:41 呵呵！建议你去看看那本本地API参考手册，应该就理解了
	回复(0) 喜欢(0)

xjtanh 驱动牛犊注册日期2002-08-08 最后登录2016-01-07 粉丝0 关注0 积分31分威望4点贡献值0点好评度3点原创分0分专家分0分加关注写私信	7楼^# 发布于：2002-10-22 14:32 我觉得应该最终HOOK的是消息吧
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

谁能说说如何在win2K中Hook系统API？譬如ZwQueryDirectoryFile

最新喜欢：