关于api钩子的问题。。李白 小f。。帮帮团的。。come on help。。

zhq445078388

Real_FlowerCode 发表于 2011-10-10 09:48
是要修改 CR0 或者使用 MDL 没错。
重定向如 jmp xxx，这个地址就是你的函数地址。
什么叫线程乱了，还 ...

我啥都不会 是看百度百科看的。。不知道啥术语。只是看他们都这么说。。

jmp后面的是子程指针吗？

Real_FlowerCode

zhq445078388 发表于 2011-10-10 09:58
我啥都不会 是看百度百科看的。。不知道啥术语。只是看他们都这么说。。

jmp后面的是子程 ...

是地址，不是指针。

zhq445078388

Real_FlowerCode 发表于 2011-10-10 10:00
是地址，不是指针。

内存地址？。。那也就是说 子程需要单独使用一个dll  然后用LoadLibrary载进来然后获取地址？

Real_FlowerCode

zhq445078388 发表于 2011-10-10 10:05
内存地址？。。那也就是说 子程需要单独使用一个dll  然后用LoadLibrary载进来然后获取地址？

你刚才不是说驱动么，怎么又变成 DLL 了……

zhq445078388

Real_FlowerCode 发表于 2011-10-10 10:06
你刚才不是说驱动么，怎么又变成 DLL 了……

额。。晕了。。

这样吧。。给个例子行吗。。
比如要对winexec进行hook
怎么进行hook hook时写的汇编有没有固定格式呢？
子程的参数怎么写 和被hook的api的参数要一致？
inlinehook  与直接使用setwindowshook的区别是什么呢？

Real_FlowerCode

zhq445078388 发表于 2011-10-10 10:10
额。。晕了。。

这样吧。。给个例子行吗。。

没有固定格式。参数要一致。inline hook 和 SetWindowsHookEx 完全没有关系。

zhq445078388

Real_FlowerCode 发表于 2011-10-10 10:14
没有固定格式。参数要一致。inline hook 和 SetWindowsHookEx 完全没有关系。

好像懂了点？

意思是说 把子程写驱动文件里面 然后把驱动加载 然后取驱动里面的子程的地址。。
。。
那么 取消内核内存的指令写哪里呢。。

驱动里面的子程。大概怎么写呢？。。
比如 我们用if过滤winexec的参数2  发现是值为1 那么就Messagebox 。。 确定之后是要放行这个动作。。
如果是setwindowshookEx的话 我们CallNextHookEx就行了。。
那么 inline时候 怎么传递的？
ps: 上次问清凉 居然给我说让自己构建api。。。。我直接崩溃了。

Real_FlowerCode

zhq445078388 发表于 2011-10-10 10:20
好像懂了点？

意思是说 把子程写驱动文件里面 然后把驱动加载 然后取驱动里面的子程的地址。。
...

呃，这个真的解释不清楚，而且也不知道你在问什么。

刚才翻你的帖子，你说你在安软公司工作？而且我没记错的话你好像还发布了一个查杀引擎之类的。那你可以问公司的技术人员，他们应该都知道这些吧。
原帖：http://bbs.kafan.cn/forum.php?mo ... ;page=2#pid19640716

zhq445078388

Real_FlowerCode 发表于 2011-10-10 10:31
呃，这个真的解释不清楚，而且也不知道你在问什么。

刚才翻你的帖子，你说你在安软公司工作？而且我没 ...

现在不干了。。
实习生。

zhq445078388

Real_FlowerCode 发表于 2011-10-10 10:31
呃，这个真的解释不清楚，而且也不知道你在问什么。

刚才翻你的帖子，你说你在安软公司工作？而且我没 ...

不好意思 我表述问题。。这样。。您随便找一个参数少的api做个例子好吗。。我都是看百度 谷歌啥的。。自己一知半解的。。