请问如何勾Ndis.sys中的NdisRegisterProtocol？

楼主^#

更多发布于：2002-10-10 10:54

我在论坛上搜了一下，只搜到找到NdisRegisterProtocol地址后怎么办的帖子，我是菜鸟，希望大虾能够一步一步的讲解给我听，最好能有一个例子，非常非常感谢，给各位大爷磕头了。：）

据我所知，勾该函数有两种方法，一个是替换Ndis.sys的导出符号表，第二个就是直接修改NdisRegisterProtocol函数的开始6个字节的内容，使其跳转到我自己的MyNdisRegisterProtocol，本人现在想使用第二种，请问大虾我应该怎么做，区区50分不成敬意，请笑纳。

还有一个问题就是：论坛上的那个FindFuntion找到的是函数地址是什么地址，是不是就是该函数在内存中的实际地址，我是不是可以直接修改该地址处的前6字节内容使其跳转到我自己的函数？本人实在是菜，让大虾奸笑了。

喜欢1

最新喜欢：

zackar...

$fracker$

fracker

驱动太牛

注册日期2001-06-28
最后登录2021-03-30
粉丝0
关注0
积分219分
威望81点
贡献值0点
好评度23点
原创分0分
专家分1分

加关注写私信

沙发^#

发布于：2002-10-10 11:15

第一种方法，你可以到网络安全版里面找我写的noname防火墙的源代码，那几个贴子是置顶的，很容易找。
第二种方法，如果你读懂了那几段程序，可以不用自己的函数替换原来的，找到那个函数的地址以后，你可以在那个地址开始的前六个字节改成下面的样子
jmp MyNdisRegisterProtocol；
当然，你要先转化成机器码，然后在你的MyNdisRegisterProtocol，里面先恢复那六个字节，然后call回原来的地址。

不过我劝你还是不要用第二种方法，意义不大。

回复喜欢

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	板凳^# 发布于：2002-10-10 11:17 只要能拦截，又何必多费手脚。
	回复(0) 喜欢(0)

tooflat 论坛版主注册日期2002-07-08 最后登录2014-03-11 粉丝2 关注0 积分1007分威望551点贡献值3点好评度476点原创分0分专家分0分加关注写私信	地板^# 发布于：2002-10-10 11:42 但是替换ndis.sys的导出符号表的话，在我的驱动后面注册的协议调用的NdisRegisterProtocol也能勾到吗？
	回复(0) 喜欢(0)

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	地下室^# 发布于：2002-10-10 13:15 当然。只要是在你勾挂后调用NdisRegisterProtocol都可以被拦截得到的。
	回复(0) 喜欢(0)

tooflat 论坛版主注册日期2002-07-08 最后登录2014-03-11 粉丝2 关注0 积分1007分威望551点贡献值3点好评度476点原创分0分专家分0分加关注写私信	5楼^# 发布于：2002-10-10 13:41 加分，没什么好说的啦！:)
	回复(0) 喜欢(0)

edust 驱动中牛注册日期2002-04-02 最后登录2003-06-25 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	6楼^# 发布于：2002-10-10 15:30 如果你要例子的话就看看 PCAUSA 的 PIM 代码，写的很清楚，还带有说明文档，本站有。
	回复(0) 喜欢(0)

cshcomexp 驱动牛犊注册日期2005-12-01 最后登录2013-12-15 粉丝0 关注0 积分18分威望84点贡献值1点好评度2点原创分0分专家分0分加关注写私信	7楼^# 发布于：2008-12-21 15:18 你的noname防火墙源代码到底在哪能下得到啊？
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册