首页>编程与逆向>内核编程>如何在内核态下修改正在运行程序的exe文件
回复
« 返回列表
clin_007
clin_007
驱动牛犊
驱动牛犊
  • 注册日期2006-12-02
  • 最后登录2009-03-22
  • 粉丝0
  • 关注0
  • 积分26分
  • 威望56点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分12分
写私信
阅读:1324回复:4

如何在内核态下修改正在运行程序的exe文件

楼主#
更多 发布于:2007-01-15 16:25
  在网上搜索了一下,没有找到满意的解决方法。
谁知道的话能不能讲讲思路或者推荐几篇相关的文章.谢谢!!
喜欢0
回复
slwqw
slwqw
驱动大牛
驱动大牛
  • 注册日期2002-07-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望197点
  • 贡献值0点
  • 好评度147点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-01-16 13:09
直接发IRP_MJ_WRITE请求下去就可以了
回复(0) 喜欢(0)
clin_007
clin_007
驱动牛犊
驱动牛犊
  • 注册日期2006-12-02
  • 最后登录2009-03-22
  • 粉丝0
  • 关注0
  • 积分26分
  • 威望56点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分12分
写私信
板凳#
发布于:2007-01-16 15:57
这种方法是等到系统释放掉exe文件的读写锁之后才能写吧,也就是要等到exe退出的时候。我想要的效果是实时的写
回复(0) 喜欢(0)
slwqw
slwqw
驱动大牛
驱动大牛
  • 注册日期2002-07-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望197点
  • 贡献值0点
  • 好评度147点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-01-16 17:47
不是的,系统对写是不是允许的判断是在ZwWriteFile()里边进行判断的,在IRP_MJ_WRITE里边没有判断,所以如果直接发请求到FSD里边,绕过ZwWriteFile()就可以写数据了,不管EXE是不是正在运行。
回复(0) 喜欢(0)
clin_007
clin_007
驱动牛犊
驱动牛犊
  • 注册日期2006-12-02
  • 最后登录2009-03-22
  • 粉丝0
  • 关注0
  • 积分26分
  • 威望56点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分12分
写私信
地下室#
发布于:2007-01-16 17:50
哦,我试试看,谢谢。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部