关于inline hook中的一个处理函数问题
在大家的帮助下,以及仔细阅读了版主给的代码后发现了一个问题,就是hook后跳转到的那个处理函数
这个处理函数几乎都不相同
有没有一个通用的函数,只要跳转到那个函数,就能保护xxx的进程?
有通用的吗?
谢谢 如果是典型的头五字节jmp hook和call hook,就有通用的模型,如果是中间地段的inline hook,比如Hook KiFastCallEntry,就没有通用模型。
PS:我要开始写《刑法》选修课的论文了,晚上见。 对,就是那个开头5字节那个
通用的模型是什么? 是不是利用这个函数ObReferenceObjectByHandle? 不明白你的意思。
如果是判断句柄,用ZwQueryInformationProcess也可以。
如果是判断EPROCESS,直接对比即可。 回复 3# ok100fen
HdProcessProtectDemo:http://www.m5home.com/bbs/thread-3613-1-1.html。 看来是我表达得有点问题
情况是这样的:
我现在已经明白inline hook是什么意思了
也理解了inline hook的基本步骤,
但是有一个问题,就是hook之后,跳到了一个自己写的函数上,
这个自己写的函数,有没有一个通用的也就是不管我hook哪个函数,我都可以跳到这个自己写的通用的函数上
然后处理过滤,实现进程的保护。
有没有这样通用的函数? 回复 7# ok100fen
当然没有啦,哪有这种好事。
页:
[1]