设为首页收藏本站
开启辅助访问 切换到宽版

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [半原创]恢复Kernel Inline Hook(第二季)
12345下一页
返回列表 发新帖
查看: 17408|回复: 40

[半原创]恢复Kernel Inline Hook(第二季)

  [复制链接]
Tesla.Angela

854

主题

3481

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36100
发表于 2010-11-23 12:27:54 | 显示全部楼层 |阅读模式
啥也不解释了,直接上代码。这次做件好事,附件不设置任何权限。
代码内含:
1.Ring3下查找ntosxxxx.exe导出函数的地址
2.Ring3下查找ntosxxxx.exe未导出函数的地址(只是举例,实际应用时需要灵活变通)
3.重定位内核文件获得正确的原始机器码
4.恢复Kernel Inline Hook

恢复指定内核函数的Inline Hook.rar

66.12 KB, 阅读权限: 10, 下载次数: 87

售价: 10 水晶币  [记录]

我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

Tesla.Angela

854

主题

3481

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36100
 楼主| 发表于 2010-11-23 12:30:41 | 显示全部楼层
第一季:http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=3752
另外,由于DLL是用VS2010编译的(很大),所以把工程文件删除了,请大家自行组建DLL的工程文件。
个人觉得用Code::Blocks编译是个不错的选择。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复 支持 反对

举报

ok100fen

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
发表于 2010-11-23 20:04:24 | 显示全部楼层
下来看看


回复 支持 反对

举报

ok100fen

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
发表于 2010-11-23 20:53:48 | 显示全部楼层
大概介绍一下怎么用这个软件
000.jpg
回复 支持 反对

举报

Lgc小孩修电脑

5

主题

52

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
210
发表于 2010-11-23 22:43:43 | 显示全部楼层
回复 ok100fen 的帖子

把英文翻译下不就得了? address地址 ,就是0xQQQQQQQ
其他自己翻译了
回复 支持 反对

举报

Lgc小孩修电脑

5

主题

52

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
210
发表于 2010-11-23 22:44:31 | 显示全部楼层
我发现我还是买不起{:3_59:}
回复 支持 反对

举报

ok100fen

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
发表于 2010-11-23 22:55:55 | 显示全部楼层
关键我不知道有什么用处

哈哈
回复 支持 反对

举报

Tesla.Angela

854

主题

3481

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36100
 楼主| 发表于 2010-11-24 09:45:09 | 显示全部楼层
回复 Lgc小孩修电脑 的帖子

共享一点你的源码就买得起了
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复 支持 反对

举报

ok100fen

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
发表于 2010-11-25 13:16:41 | 显示全部楼层
最下面的两个按钮有什么用?

还有,得到的地址是原来的5个字节,还是被hook后的5个字节?

得到了那5个字节有什么用呢?
回复 支持 反对

举报

Tesla.Angela

854

主题

3481

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36100
 楼主| 发表于 2010-11-25 13:59:35 | 显示全部楼层
回复 ok100fen 的帖子
还有,得到的地址是原来的5个字节,还是被hook后的5个字节?


这句是什么话????:L
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复 支持 反对

举报

12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-4-24 15:23 , Processed in 0.031318 second(s), 23 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表