|
20楼#
发布于:2002-06-21 17:32
既导入ring3函数,又导入ring0函数”?那你怎么调用ring0?一个call指令显然不行的,这涉及到特权级改变啊 loader就不加载我导入ntoskrnl.exe的程序,你有什么法? I/O管理器安全检查?详细些 |
|
|
|
21楼#
发布于:2002-06-21 17:44
dll确实是从文件里只装入一次
---------------------------------------------------------------------- 我们对“装载”这个词的理解造成的分歧,呵呵。那书很久前看了很多遍,好像还记得,呵呵。 举个例子,我做一个消息钩子,每次一个进程调用界面服务导致系统自动加载我的DLL并调其入口,你在DllMain里加个MessageBox就知道它在你切换焦点时总会跳出来。注意:系统将dll文件映射入一个进程空间并调用入口才是我说的加载!与matt的定义有无出入我不管,一个进程用一个dll,这个dll就被映射入该进程空间、DllMain被调用-----被加载了! 9x的确与2000还有些出入。 sys在系统内核空间,环境切换时都不用改变,所用进程全局共享。 |
|
|
22楼#
发布于:2002-06-21 17:49
loader就不加载我导入ntoskrnl.exe的程序,你有什么法?
I/O管理器安全检查?详细些 ------------------------------------------------------------------------- 1、不导入呗---哈哈。其实就是自己做初始化的事(取内核函数地址等)。 2、不是很详细了么:“将文件头表现为sys格式”,否则不理睬你。 |
|
|
23楼#
发布于:2002-06-21 17:50
1、不导入呗---哈哈。其实就是自己做初始化的事(取内核函数地址等)。
------------------------------------------------------------ 搞得像病毒一样 2、不是很详细了么:“将文件头表现为sys格式”,否则不理睬你。 ------------------------------------------------------------exe就不行? |
|
|
|
24楼#
发布于:2002-06-21 17:52
exe就不行
--------------------------------------------------------------------- 当然。exe只能加载,它不让你运行起来,555 不过也是为了安全 |
|
|
25楼#
发布于:2002-06-21 17:54
搞得像病毒一样
----------------------------------------------------------------------- 本来这就是不写驱动获取ring0的尝试之一,什么程序才需要这样呢?呵呵 |
|
|
26楼#
发布于:2002-06-21 18:32
好好。
这种话题多多议善啊。 sys应该是在2G空间上面的(不加/3G的话),就是pjf说的系统空间,被2G下面的进程共享的。 |
|
|
27楼#
发布于:2002-06-21 18:34
搞得像病毒一样 所以我才研究它啊,呼呼 |
|
|
|
28楼#
发布于:2002-06-24 14:56
厉害,厉害
终于见到高手讨论了 pjf,我佩服 |
|
上一页
下一页