|
|
这是我去年过年写的烂玩意,今年过年时又摆弄了几天。
此工具能针对以下四种INLINE HOOK做了特殊处理(能找出代理函数所在模块或者给出特定提示):
1.直接jmp方式
2.push-ret方式
3.modify-call方式
4.修改函数一个字节结合IDT HOOK实现INLINE HOOK的方式
支持XP、2K3、VISTA、WIN7,支持扫描NTOS/SSDT/SSSDT的INLINE HOOK,并且对某些敏感的未导出函数做了特殊处理(比如KiFastCallEntry、KiInsertQueueApc等)。
下图为同时打开PT 4.2和XT 0.45的效果:
最后不得不说QQ管家写得真差劲,这程序在装有QQ管家的电脑上无法正常运行(不是无法运行程序,而是不能正常工作,QQ管家也没有任何提示)。但是在装有卡巴斯基、安博士等的电脑上能正常运行。代码写得太烂就不开源了,反正懂的人看了BIN自然懂,不懂的人看了SRC还是不懂。 |
|
发表于 2012-5-22 17:19:14
发表于 2012-5-22 17:35:36
发表于 2012-5-25 00:00:22
