如何替换Ntdll.dll 中的函数，并使之对所有进程有效

lghtly 驱动牛犊注册日期2004-10-14 最后登录2005-11-29 粉丝0 关注0 积分1分威望1点贡献值0点好评度0点原创分0分专家分0分加关注写私信	阅读：2956回复：3 如何替换Ntdll.dll 中的函数，并使之对所有进程有效楼主^# 更多只看楼主倒序阅读发布于：2004-11-29 15:38 如何替换Ntdll.dll 中的函数，并使之对所有进程有效，谢谢！！！！！！！！！！！！急！！！！！！！！！！！
	喜欢0 最新喜欢：回复

fslife

驱动大牛

加关注写私信

沙发^#

发布于：2004-11-29 16:11

我认为有两种方法：
1。静态替换：用微软的Detours工具包，直接把你的Ntdll.dll修改了，这样每一个进程用到的都是你改过的。
2。动态替换：hook每一个进程，在hook例程中hook ntdll.dll的函数。

在交流中学习。。。

回复喜欢

wowocock

VIP专家组

加关注写私信

板凳^#

发布于：2004-11-29 22:22

参考我以前的回复,避开COW.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

lghtly 驱动牛犊注册日期2004-10-14 最后登录2005-11-29 粉丝0 关注0 积分1分威望1点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地板^# 发布于：2004-11-30 14:11 kernel32.dll中调用Ntdll.dll中的函数，若修改内存中的Ntdll.dll对进程来说是否已经无效，因为Kernel32.dll中已经映射了Ntdll.dll中输出函数的正确地址。这种理解是否正确？
	回复(0) 喜欢(0)

发帖回复

您需要登录后才可以回帖，登录或者注册