【3.A.S.T】网络安全爱好者's Archiver

黑客学习

冰绿茶 发表于 2008-7-23 08:27

[讨论]对《内核级HOOK的几种实现与应用》一文的疑问

[讨论]对《内核级HOOK的几种实现与应用》一文的疑问
议题作者:uncledo
见[url=http://www.xfocus.net/articles/200303/499.html]http://www.xfocus.net/articles/200303/499.html[/url]
这篇文章被转载了n次了,
3、 HOOK PE 方法
里面应该把MyStrchr函数改为strrchr函数,害得我在这想了很久(之前就有点模糊)
文章里的MyGetModuleBaseAddress函数应该当成工具函数记住,太有用了 [img]http://forum.eviloctal.com/images/smilies/default/biggrin.gif[/img]

我的疑问是 :如何才能知道HookNtCreateFile函数成功了呢?
也就是怎样才能在dbgview里看到那句DbgPrint("Hook ZwCreateFile() \n");[img]http://forum.eviloctal.com/images/smilies/default/shocked.gif[/img]
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=127206]0[/url] 积分48 阅读权限40 在线时间124 小时 注册时间2007-6-15 最后登录2008-6-28 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=127206]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-63567.html]achillis[/url] [img]http://forum.eviloctal.com/images/avatars/pw/univer2.gif[/img]

晶莹剔透§烈日灼然

游大海 发表于 2008-7-23 08:27

在你成功hook了NtCreateFile之后,你再随便写个程序调用CreateFile API,就会跳转到HookNtCreateFile()例程中,这时就能看到DbgView的输出了。

查看是否hook成功可以使用冰刃,gmer ,Rootkit Unhooker,Syscheck, WsSyscheck,超级巡警等可以看SSDT表的工具。如果成功的话,可以显示出来新的NtCreateFile()地址和所在模块,也就是你的驱动了。学习中.......
[url=http://wpa.qq.com/msgrd?V=1&Uin=344132161&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子54 精华[url=http://forum.eviloctal.com/digest.php?authorid=63567]0[/url] 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=63567]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘(图)[/url]

[url=http://forum.eviloctal.com/space-uid-25861.html]better0332[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal2.gif[/img]
晶莹剔透§烈日灼然

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.