===又是HOOK，但这次HOOK的内容不同＝＝＝

在内核模式下如何HOOK应用层调用GetSystemTime函数？
我HOOK了ZwQuerySystemTime函数，但不起作用，同时用ZwSetSystemTime来HOOK应用层调用SetSystemTime就可以。

有什么方法来HOOK　GetSystemTime函数呢？
据说GetSystemTime并没有调用ZwQuerySystemTime,而是直接从KUSER_SHARED_DATA中读取的，谁能具体讲讲GetSystemTime是怎么实现呢？如何HOOK？

[编辑 -  1/14/05 by  wangwu]

你直接在应用层hook不行，非要在内核hook吗？

在内核模式下如何HOOK应用层调用GetSystemTime函数？
我HOOK了ZwQuerySystemTime函数，但不起作用，同时用ZwSetSystemTime来HOOK应用层调用SetSystemTime就可以。

有什么方法来HOOK　GetSystemTime函数呢？
据说GetSystemTime并没有调用ZwQuerySystemTime,而是直接从KUSER_SHARED_DATA中读取的，谁能具体讲讲GetSystemTime是怎么实现呢？如何HOOK？

[编辑 -  1/14/05 by  wangwu]

如果GetSystemTime并没有调用ZwQuerySystemTime,而是直接从KUSER_SHARED_DATA中读取的，那么该函数根本没进入核心模式，只从用户模式中的KUSER_SHARED_DATA读取的，在内核中便无法HOOK了

[quote]在内核模式下如何HOOK应用层调用GetSystemTime函数？
我HOOK了ZwQuerySystemTime函数，但不起作用，同时用ZwSetSystemTime来HOOK应用层调用SetSystemTime就可以。

有什么方法来HOOK　GetSystemTime函数呢？
据说GetSystemTime并没有调用ZwQuerySystemTime,而是直接从KUSER_SHARED_DATA中读取的，谁能具体讲讲GetSystemTime是怎么实现呢？如何HOOK？

[编辑 -  1/14/05 by  wangwu]

如果GetSystemTime并没有调用ZwQuerySystemTime,而是直接从KUSER_SHARED_DATA中读取的，那么该函数根本没进入核心模式，只从用户模式中的KUSER_SHARED_DATA读取的，在内核中便无法HOOK了 [/quote]

具体讲讲在应用层怎么读KUSER_SHARED_DATA？

[编辑 -  1/14/05 by  wangwu]

在WINDOWS中，点击右下角的时间，弹出日期/时间属性窗口，这时系统不是不调用了Getsystime，ZwQuerysystime？

有没有好的工具来监看系统调用的API？

下载了两个APIMON工具，都不好用！