[原创开源]Win64上通过Ring 3 API Inline Hook实现HIPS

Tesla.Angela · 发表于 2011-5-17 11:15:27

Hook了NtSetValueKey做简单的示例，在有程序试图修改IE主页时会提示。
全局HOOK + 反DLL重载绕过钩子。
注：我在代码里监视的是[Start_Page]的变动，如果真的要反修改IE主页，请监视[Start Page]的变动。
源码就不贴出来了，自己看代码吧。

2011-09-03更新的内容：
本代码只对64位进程的行为进行了拦截，并未对32位进程的行为进行拦截。
如果需要彻底拦截WIN64系统上所有进程的行为，需要编译两种类型的DLL，分别注入到不同类型的进程！

ithurricane · 发表于 2011-8-15 22:11:39

提示: 作者被禁止或删除内容自动屏蔽

testid · 发表于 2011-10-21 10:43:34

顶好帖子！！！！

乔丹二世 · 发表于 2012-1-19 14:08:40

这个价值不大～

DevilLiao · 发表于 2013-1-11 09:00:13

乔丹二世发表于 2012-1-19 14:08
这个价值不大～

为什么价值不大？

kk1025 · 发表于 2013-4-10 02:22:07

頂!! 支持

shuxuliang · 发表于 2014-2-9 15:39:31

通过hook导入表用来监控也是可以的把？ inline貌似麻烦了点

jgyolm · 发表于 2014-5-9 20:57:49

账号		自动登录	找回密码
密码			加入我们