|
阅读:3195回复:9
应用层和驱动层hook的区别?(100分)
看了很多帖子,觉得API的hook主要有应用层和驱动系统服务的劫持两种,这两种总有各自的优缺点和适用范围的吧,是什么呢?
|
|
|
沙发#
发布于:2005-04-20 09:36
各有优缺点吧。
在驱动层hook,好处是比较彻底; 在应用层hook,好处是易于分析。 看你的需要了。 |
|
|
|
板凳#
发布于:2005-04-20 09:58
看了很多帖子,觉得API的hook主要有应用层和驱动系统服务的劫持两种,这两种总有各自的优缺点和适用范围的吧,是什么呢? 不好意思,上回忘了说了,由于COW,要完全在ring 3做个Global hook,只有一种方法,就是修改硬盘上的DLL文件,然后restart,至少得修改该Dll文件的.code section的属性,其它的方法都是针对特定进程的,而驱动系统服务肯定是全局的,这是最大的区别!!! |
|
|
|
地板#
发布于:2005-04-20 11:00
COW会造成什么情况,跟应用层hook有什么关系?
|
|
|
地下室#
发布于:2005-04-20 11:21
看了很多帖子,觉得API的hook主要有应用层和驱动系统服务的劫持两种,这两种总有各自的优缺点和适用范围的吧,是什么呢? 应用程序HOOK的API 驱动程序HOOK的API 实现比较简单 实现麻烦 更上层 更底层 需要使用钩子或者其他技术 Hook更直接 ....... |
|
|
|
5楼#
发布于:2005-04-20 11:28
COW会造成什么情况,跟应用层hook有什么关系? COW是Copy On Write,你只要在应用层,一改DLL代码段,Windows便会给你一个新页面,里面的代码只有你要改的那个特定的Process用了,其它Process还用原来的 |
|
|
|
6楼#
发布于:2005-04-26 09:12
提提
|
|
|
7楼#
发布于:2005-05-05 21:04
有的东西必须用驱动层hook来实现
|
|
|
8楼#
发布于:2005-05-08 22:35
有的东西必须用驱动层hook来实现 举例一下! |
|
|
9楼#
发布于:2005-05-08 23:35
[quote]有的东西必须用驱动层hook来实现 举例一下! [/quote] 比如键盘操作HOOK API比较麻烦,而使用Hook驱动或者Filrer比较简单 又比如:显示部分的动态屏幕步骤技术,HOOK驱动容易操作切彻底,而HOOK应用则不燃切效率低 |
|
|