wowocock老大，帮忙啊

楼主^#

更多发布于：2005-02-23 10:35

请问一下，hook系统服务的程序怎么只能在win2000下用呢，我在xp里装了xp的DDK后，再调这个程序，机器马上就重启了，怎么修改程序来解决程序的可移植性呢（附件里是这个hook的代码）
另外，你那有T-ProcMon的源代码吗！
谢谢

zhangshengyu

驱动老牛

加关注写私信

沙发^#

发布于：2005-02-23 15:40

__asm{
mov eax, CR0VALUE
mov cr0, eax
}

这一段要等到恢复完了的时候用
你的程序中为unload历程

－－－内核开发合作或提供基础技术服务QQ:22863668 －－－

回复喜欢

wowocock

VIP专家组

加关注写私信

板凳^#

发布于：2005-02-23 19:02

ZwQuerySystemInformation的SERVICEID固定为0X97吗??
参考UNDOC NT里的HOOK NATIVEAPI的方法,动态获得SERVICEID.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

wowocock

VIP专家组

加关注写私信

地板^#

发布于：2005-02-23 19:05

还有你通过这种方法来隐藏进程根本毫无意义,连最垃圾的驱动进程查看器都能查出来....

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

neo1980919 驱动牛犊注册日期2005-01-24 最后登录2005-06-13 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2005-02-24 10:10 哦，老大，你那里有没有关于驱动进程查看器的代码啊，帮帮小弟嘛
	回复(0) 喜欢(0)

wowocock

VIP专家组

加关注写私信

5楼^#

发布于：2005-02-24 11:33

最垃圾的方法是搜索内核进程双向连表来枚举进程,好点的是通过挂钩线程调度来查看进程,网上例子很多,自己搜索下吧....

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

neo1980919 驱动牛犊注册日期2005-01-24 最后登录2005-06-13 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	6楼^# 发布于：2005-02-24 14:17 好的,谢谢wowocock老大
	回复(0) 喜欢(0)

xuzheng318 驱动牛犊注册日期2005-01-24 最后登录2005-03-04 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	7楼^# 发布于：2005-02-24 14:50 用枚举法虽然笨了点，但的确是个有效的方法！
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册