[原创开源]Win64上通过Ring 3 API Inline Hook实现HIPS

Tesla.Angela 发表于 2011-5-17 11:15:27

Hook了NtSetValueKey做简单的示例，在有程序试图修改IE主页时会提示。
全局HOOK + 反DLL重载绕过钩子。
注：我在代码里监视的是的变动，如果真的要反修改IE主页，请监视的变动。
源码就不贴出来了，自己看代码吧。

2011-09-03更新的内容：
本代码只对64位进程的行为进行了拦截，并未对32位进程的行为进行拦截。
如果需要彻底拦截WIN64系统上所有进程的行为，需要编译两种类型的DLL，分别注入到不同类型的进程！

ithurricane 发表于 2011-8-15 22:11:39

testid 发表于 2011-10-21 10:43:34

顶好帖子！！！！

乔丹二世 发表于 2012-1-19 14:08:40

这个价值不大～

DevilLiao 发表于 2013-1-11 09:00:13

乔丹二世发表于 2012-1-19 14:08 static/image/common/back.gif
这个价值不大～

为什么价值不大？

kk1025 发表于 2013-4-10 02:22:07

頂!! 支持

shuxuliang 发表于 2014-2-9 15:39:31

通过hook导入表用来监控也是可以的把？ inline貌似麻烦了点

jgyolm 发表于 2014-5-9 20:57:49

页: [1]

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛's Archiver

[原创开源]Win64上通过Ring 3 API Inline Hook实现HIPS