楼主: ExitProces
收起左侧

[原创文章] 记一次对<Ring3钩子保护自身>例程的分析,付解决DEMO和思路

  [复制链接]
ExitProces
 楼主| 发表于 2015-5-30 22:56:32 | 显示全部楼层
本帖最后由 ExitProces 于 2015-5-30 23:00 编辑


今年5月23日,也就是上个星期,在广东ACM省赛GDCPC2015拿了个铜奖大一新生,不知道值不值得表扬
话说你那边的战果如何
蚯蚓翔龙
发表于 2015-5-30 23:04:05 | 显示全部楼层
ExitProces 发表于 2015-5-30 22:42
我知道随随便便下个Hook Hook掉LdrLoadDll很简单.但是,在LoadLibraryExW中转LdrLoadDll会涉及到参数检 ...

果然你代码跟我想一样,前两个都是0...但是实际上不是这样的,第一个参数很多时候根据LoadLibraryExW的dwFlags来的,经过我的观察是dwFlags+1,不知道为什么,我也有学些易语言的...我想你说的参数问题,似乎不是重点,简单的话好像还是可以做的
ExitProces
 楼主| 发表于 2015-5-30 23:07:00 | 显示全部楼层
蚯蚓翔龙 发表于 2015-5-30 23:04
果然你代码跟我想一样,前两个都是0...但是实际上不是这样的,第一个参数很多时候根据LoadLibraryExW的dw ...

为啥我查阅的基本所有资料/代码里参数都是0, 0
但是,目前我多次使用参数0, 0反复调用尚未发现问题
如果参数0, 0有缺陷或疏忽,请指正
蚯蚓翔龙
发表于 2015-5-30 23:23:48 | 显示全部楼层
ExitProces 发表于 2015-5-30 23:07
为啥我查阅的基本所有资料/代码里参数都是0, 0
但是,目前我多次使用参数0, 0反复调用尚未发现问题
如果 ...

可能是你调用的Dll这样简单就行了,不信你第一个参数改成1,应该也可以用的,如果你试图Hook LoadLibraryExW之后用参数0, 0的LdrLoadDll加载dll的话,可能会发现很多操作会导致奔溃系统找不到dll,比如加载某些文件之后会死了,当然也许是我自己不仔细或者我测试的那个文件特殊了点...
ExitProces
 楼主| 发表于 2015-5-30 23:45:26 | 显示全部楼层
蚯蚓翔龙 发表于 2015-5-30 23:23
可能是你调用的Dll这样简单就行了,不信你第一个参数改成1,应该也可以用的,如果你试图Hook LoadLibrary ...

谢谢提醒,下次有机会一定注意
ForeverX
发表于 2015-6-1 11:12:14 | 显示全部楼层
ExitProces 发表于 2015-5-30 22:56
今年5月23日,也就是上个星期,在广东ACM省赛GDCPC2015拿了个铜奖大一新生,不知道值不值得表扬
话 ...

好巧,我也是大一新生,跟学长们组队拿了个铜奖
ExitProces
 楼主| 发表于 2015-6-1 12:04:11 | 显示全部楼层
ForeverX 发表于 2015-6-1 11:12
好巧,我也是大一新生,跟学长们组队拿了个铜奖

我队都是大一的而且我是主力
ForeverX
发表于 2015-6-1 12:15:43 | 显示全部楼层
ExitProces 发表于 2015-6-1 12:04
我队都是大一的而且我是主力

平时刷题多不,每周刷多少题?
ExitProces
 楼主| 发表于 2015-6-1 18:04:07 | 显示全部楼层
ForeverX 发表于 2015-6-1 12:15
平时刷题多不,每周刷多少题?

老师下的任务还算比较多,可是实际上做的题却不多(直接说懒还好一点)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 19:31 , Processed in 0.094647 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表