jinfu 发表于 2012-4-16 16:42:56

Hook NtUserCallOneParam【禁止关机】实现Xuetr里面一个功能









声明:驱动源码来自于网络搜集,本人仅提供转载。








马大哈 发表于 2012-4-16 21:27:36

这个不错,支持一下!{:soso_e113:}

Tesla.Angela 发表于 2012-4-16 21:58:54

HOOK NtShutdownSystem也可以。

说个R3的方法:
**** Hidden Message *****

chenmo不行 发表于 2012-4-16 23:10:06

这个要看看啊,谢谢楼主

dico 发表于 2012-4-17 08:11:10

R3也可以HOOK相关函数来实现吧

g2368vt 发表于 2012-4-17 11:47:30

看看

renminbi 发表于 2012-4-17 13:59:48

看看

oopww 发表于 2012-4-18 18:19:23

呵呵。。楼主也来紫水晶了!~~~??

abcgoodwei 发表于 2012-4-19 18:09:22

支持一下啊啊

Tesla.Angela 发表于 2012-4-22 17:26:29


jinfuR3拦截不了NtShutdownSystem (1)发表于 15 小时前


拦不住就怪了。

d05540118 发表于 2012-4-25 14:38:42

这个可以防止同样是驱动级别的关机么??

d05540118 发表于 2012-4-25 21:26:22

win7下,直接运行程序bin里的程序后,XueTr里面看了下,没看到效果,是不是要改什么东西,重新编译下

d05540118 发表于 2012-4-25 21:37:43

刚看了代码,看到下面这部分。
win7的majorVersion是不是6,miniorVersion是不是1?

NtUserCallOneParam_callnumber在 win7里面是不是也是 0x143;
//根据操作系统来确定具体函数的服务号
VOID InitCallNumber()
{
        ULONG majorVersion, minorVersion;
        PsGetVersion( &majorVersion, &minorVersion, NULL, NULL );
    if ( majorVersion == 5 && minorVersion == 2 )
    {
          DbgPrint("comint32: Running on Windows 2003");


          NtUserCallOneParam_callnumber = 0x143;
        }
        else if ( majorVersion == 5 && minorVersion == 1 )
        {
          DbgPrint("comint32: Running on Windows XP");


          NtUserCallOneParam_callnumber = 0x143;
        }
        else if ( majorVersion == 5 && minorVersion == 0 )
        {
          DbgPrint("comint32: Running on Windows 2000");


          NtUserCallOneParam_callnumber = 0x143;
        }
}

wqs3568 发表于 2012-5-9 00:51:13

看咯下没什么效果

qwerasdf 发表于 2012-5-13 00:46:30

以,这玩意也行,看看是啥东东

nnluyi 发表于 2012-5-14 06:16:05

我也看看好东西

cxjnet 发表于 2012-7-27 23:45:47

这个要看看啊,谢谢楼主

夜太美 发表于 2013-2-1 14:25:38

看看Ring3的...

F0-0 发表于 2013-2-3 10:43:55


看看

watchsky 发表于 2013-2-6 14:30:03

see

mysmartid 发表于 2013-2-10 17:46:11

看大家针对问题的互相学习讨论,虽然大家讲的我不是很懂,但是要讲这感觉还真是不错!

rkq1991 发表于 2013-3-16 23:12:12

回复一个……

wszjljx 发表于 2013-3-22 08:30:19

Ring3全局Hook 注入DLL么

mayl8822 发表于 2014-2-27 16:02:55

对楼猪只能说,你太伟大了!!

XSS 发表于 2014-4-5 01:10:54

biiaidt 发表于 2014-10-16 21:10:45

瞧瞧

andylau004 发表于 2015-1-7 23:46:10

1111111

jhszs 发表于 2015-6-14 13:38:41

看下R3的方法

huoyong1985 发表于 2015-6-29 11:45:44

支持

goodluckwxl 发表于 2017-4-2 02:22:14

为什么不是ExitWindowEx 这个函数呢

zoandcom 发表于 2020-5-8 18:02:15

看看

Cloutain 发表于 2020-5-9 15:39:39

我是来看R3的方法的
页: [1] 2
查看完整版本: Hook NtUserCallOneParam【禁止关机】实现Xuetr里面一个功能