|
阅读:1903回复:19
我也发个垃圾原创吧,跟timao的没法比,博大家一笑吧
看wowocock老大在Undocument w2k的回帖,我把Undocument w2k cd中的内存查看器,及通用hook改在xp下能用,xp中将系统服务函数增加到了0x11c个了,并测试成功,在注释中写了一点注意和体会,本人做成了个解决方案,在vs2003下直接编译,不需在DDK下编译
这可能有违原创之意,但斑竹定夺吧 哎,技术吗,没有。辛苦倒没少下,尤其是hook调试,开始无规律,没1秒就兰屏。用softice跟踪又特难,因为有时跟踪循环200次都没事,有时不到100次就完蛋了。后来分析了兰屏后的dump文件,发现是和塞门铁克实时监控冲突,它对自己的监测使用的模式匹配数据文件句柄,进行了保护。我后来把它关掉就没事了,我目前还不知道如何对付它,希望大虾给与指导,本来想将后面有关对象的东东也做完的,但今天windows intenals书到了,欣喜若狂,开始研究,没时间了,以后有空儿再补上吧 打包文件在附件中 |
|
最新喜欢: threeb...
|
|
沙发#
发布于:2005-04-04 12:02
老外的代码就是好,我几乎全部是抄,hehe
|
|
|
|
板凳#
发布于:2005-04-04 13:22
这个程序是hook什么的? :)
作用何在? :) |
|
|
|
地板#
发布于:2005-04-04 14:49
这个程序是hook什么的? :) hook你自己定义的napi,监视系统调用napi的参数与返回值 |
|
|
|
地下室#
发布于:2005-04-04 16:29
hook你自己定义的napi,监视系统调用napi的参数与返回值 自己定义的?为什么不是系统定义的napi呢?能具体讲解一下? :) |
|
|
|
5楼#
发布于:2005-04-04 17:34
支持原创。。。。。。。呵呵。。。 ;)
|
|
|
|
6楼#
发布于:2005-04-04 19:45
支持,好东西呀!!!
|
|
|
|
7楼#
发布于:2005-04-05 08:25
[quote]hook你自己定义的napi,监视系统调用napi的参数与返回值 自己定义的?为什么不是系统定义的napi呢?能具体讲解一下? :) [/quote] 老大误解,自定义你需要hook的系统napi,即你想捕获多少就捕获多少 |
|
|
|
8楼#
发布于:2005-04-06 10:33
老大误解,自定义你需要hook的系统napi,即你想捕获多少就捕获多少 明白了。已经下载了,认真学习一下。 :) |
|
|
|
9楼#
发布于:2005-04-09 12:21
学习一下 不错!
|
|
|
10楼#
发布于:2005-04-11 08:46
好,希望能有更多的人象,楼主那样把自己的心得体会写出来,让大家学习
|
|
|
|
11楼#
发布于:2005-04-11 08:49
看了新书有什么心得体会也请尽早写出来,便于大家学习,嘿嘿
|
|
|
|
12楼#
发布于:2005-04-11 09:20
看了新书有什么心得体会也请尽早写出来,便于大家学习,嘿嘿 好久不见,是否也在研究新书,我看了有关超线程的那段,好像应该把它当作多处理器处理,请老大赐教 |
|
|
|
13楼#
发布于:2005-04-13 16:42
我刚拿到书,还没看,你说的是哪一章??
|
|
|
|
14楼#
发布于:2005-04-14 15:06
我刚拿到书,还没看,你说的是哪一章?? 是第二章,系统架构,而且我在windows\\repair\\setup.log中ntoskrnl这项,我机器上拷贝的是ntkrnlmp.exe,是多处理器版,调试器也一切好像是多处理器的,这是不是说明我上面改的那个用Exchange做的hook是不安全的呢?可是居然在我机器上试了几天,它都不出错,也许是这种情况在个人用时发生几率太少,试不出来? |
|
|
|
15楼#
发布于:2005-04-18 11:29
bmyyyud 老大
2005-04-04_UnWin2k.rar 文件下不了,总是报连接错误。能给我发一份吗? 我的mail是znuwwj@yeah.net 万分感谢 |
|
|
16楼#
发布于:2005-04-24 19:00
[quote] [quote]hook你自己定义的napi,监视系统调用napi的参数与返回值 自己定义的?为什么不是系统定义的napi呢?能具体讲解一下? :) [/quote] 老大误解,自定义你需要hook的系统napi,即你想捕获多少就捕获多少 [/quote] hook HAL.dll成吗?我老hook 不成功。 |
|
|
|
17楼#
发布于:2005-04-25 09:29
[quote][quote] [quote]hook你自己定义的napi,监视系统调用napi的参数与返回值 自己定义的?为什么不是系统定义的napi呢?能具体讲解一下? :) [/quote] 老大误解,自定义你需要hook的系统napi,即你想捕获多少就捕获多少 [/quote] hook HAL.dll成吗?我老hook 不成功。 [/quote] 你用的什么方法呢?这里的方法只针对系统调用,即ntoskrnl.exe 与win32k.sys,但用别的方法一样可以hook hal,先说说你的想法,现在感觉只要进入ring 0,windows和dos差不多 |
|
|
|
18楼#
发布于:2005-04-25 13:25
我用的是idapor5用的“真是太奇怪了”哪个方法。采用修改PE export table 的方法,
奇怪的很。我HOOK WRITE_PORT_BUFFER_USHORT 老不成功,发现正确修改了hal.dll.但我采用硬修改的方法,也就是直接修改这个函数的重定项位置到我的hook 函数中就可以。 让人郁闷的是。 WRITE_PORT_UCHAR WRITE_PORT_USHORT 不用做任何修改就可以成功hook 。 |
|
|
|
19楼#
发布于:2005-04-25 15:19
我HOOK WRITE_PORT_BUFFER_USHORT 老不成功,发现正确修改了hal.dll.但我采用硬修改的方法,也就是直接修改这个函数的重定项位置到我的hook 函数中就可以。 以上都是修改磁盘上的hal.dll文件吗? 让人郁闷的是。 WRITE_PORT_UCHAR WRITE_PORT_USHORT 不用做任何修改就可以成功hook 。 不用做任何修改就可以成功hook ,这又是什么意思 |
|
|