|
阅读:1663回复:6
关于ZoneAlarm Pro如何实现替换NdisRegisterProtocol的地址
关于ZoneAlarm Pro如何实现替换NdisRegisterProtocol的地址?
ZoneAlarm Pro实现了对NdisRegisterProtocol的动态替换, 他没有使用Hook PE(使用ZwQuerySystemInformation查询基 地址,再修改Export Table)的方法。 有没有那位研究过他是如何实现的? |
|
|
沙发#
发布于:2004-06-03 17:14
那就是注册一个假协议的方法了。
|
|
|
板凳#
发布于:2004-06-04 10:54
对,ZA是使用注册假协议的方法,但我想问的是:
注册假协议只是挂接我们的协议启动之前的协议, 而对启动之后启动的协议没有挂接。 ZA是如何对驱动启动之后的协议驱动进行挂接的? 他不是使用ZwQuerySystemInformation得到基址,再 替换Export Table中NdisRegisterProtocol的方法。 我想知道ZA是如果挂接NdisRegisterProtocol的。 老大,可以帮忙解答吗? |
|
|
地板#
发布于:2004-06-04 12:37
ZoneAlarm Pro?
没见过。 如果你有源代码,就自己找找了。 如果没有那“他不是使用ZwQuerySystemInformation得到基址,再 替换Export Table中NdisRegisterProtocol的方法。” 该结论从何而来? |
|
|
地下室#
发布于:2004-06-05 12:59
请问asmsys老大,假协议中的PtxxxHandler要不要真实的实现?
我发现只hook其中的bind和unbind也可以工作,只是空的函数体。 请指点。 thanks. |
|
|
5楼#
发布于:2004-06-07 16:52
asmsys老大,你好。
我是通过跟踪和反汇编知道“他不是使用ZwQuerySystemInformation得到基址,再替换Export Table中NdisRegisterProtocol的方法。” ZoneAlarm Pro是和Norton知名度差不多的个人防火墙。 多谢asmsys跟踪解答。 |
|
|
6楼#
发布于:2004-06-22 17:15
我也想知道
|
|
|