|
阅读:3171回复:36
召唤wowowowock
啊摩西列~~~莫妮卡里~~~~蛮力蛮力弘
神牛啊。。。出现吧!!!帮我实现一个愿望。。。 我打算HOOK QueryValueKey,但是老是不稳定,hook是可以调用,但是会莫名其妙的挂掉,有空帮我调试下 |
|
|
|
沙发#
发布于:2007-09-12 16:13
To wowocock 当然凌乱了啊,我测试代码
那个Hook NtDeviceIoControl貌似工作正常,关键是HOOK QueryValueKey不稳定,老是给我BSOD 这样写是为了躲开利用前7个字节JMP来检查inline hook的工具  |
|
|
板凳#
发布于:2007-09-13 08:05
我不怎么相信WQXNETQIQI,不能用你的方法,貌似你是搞杀流氓软件的,用你的方法肯定会被杀的 哈哈
 你是不是搞360卫士的,给小弟一条活路吧  谢谢PS:WQXNETQIQI = 王琪兴 网络 琪琪???好怪异的字符串,期待解释ing,本人也姓王,本家啊,以后就托付给你了,哈哈 |
|
|
地板#
发布于:2007-09-13 10:02
|
|
|
地下室#
发布于:2007-09-13 11:07
谢谢!谢谢
还是大哥好,我马上去调试下。。。 |
|
|
5楼#
发布于:2007-09-13 11:16
_emit 0x90;//16
_emit 0x90;//17 _emit 0x90;//18 _emit 0x90;//18 _emit 0x90;//20 _emit 0x90;//21 _emit 0x90;//22 _emit 0x90;//23 ???这段不理解啊,为什么要加这多的NOP指令呢??? |
|
|
6楼#
发布于:2007-09-13 11:24
哦 !我明白了
|
|
|
7楼#
发布于:2007-09-13 11:27
关键是必须拷贝15+8条指令,前面是原有指令后面是等同于你自己PATCH 的指令
否则跳转到我的HOOKQueryValueKey, 又会继续Jmp到我的HOOKQueryValueKey,因为我把后面的API 7个字节改为JMP了 难怪有时候会式循环哦!  |
|
|
8楼#
发布于:2007-09-13 11:29
谢谢wowowowocock,小弟刚从VB6转行过来
|
|
|
9楼#
发布于:2007-09-13 15:04
呵呵,放眼望去就俺一个牛犊,所以推荐俺几本书吧,或者一个学习计划,我的方向是网络安全
希望以后有机会见见大牛们 尤其是QIQI大母牛  |
|
|
10楼#
发布于:2007-09-13 23:41
有道理,到时驱动都运行在.NET中,哈哈!看你们一群流氓还折腾个啥
叫你控制我的计算机,叫你啥流氓,叫你还搞HOOK,叫你用C++ 还是VB好啊,不会内存溢出,没有shellcode,多安全啊 等俺用上了.net,我继承,我重载,我委托,我组合,我接口,我架构。。。炫目死你们 |
|