设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 关于inline hook中的一个处理函数问题
返回列表 发新帖
查看: 4212|回复: 7

关于inline hook中的一个处理函数问题

  [复制链接]
ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
发表于 2010-10-16 15:18:11 | 显示全部楼层 |阅读模式
在大家的帮助下,以及仔细阅读了版主给的代码后
发现了一个问题,就是hook后跳转到的那个处理函数
这个处理函数几乎都不相同
有没有一个通用的函数,只要跳转到那个函数,就能保护xxx的进程?
有通用的吗?
谢谢
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-10-16 15:59:52 | 显示全部楼层
如果是典型的头五字节jmp hook和call hook,就有通用的模型,如果是中间地段的inline hook,比如Hook KiFastCallEntry,就没有通用模型。

PS:我要开始写《刑法》选修课的论文了,晚上见。
回复

举报

ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
 楼主| 发表于 2010-10-16 17:07:48 | 显示全部楼层
对,就是那个开头5字节那个
通用的模型是什么?
回复

举报

ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
 楼主| 发表于 2010-10-16 17:09:27 | 显示全部楼层
是不是利用这个函数ObReferenceObjectByHandle?
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-10-17 12:12:38 | 显示全部楼层
不明白你的意思。
如果是判断句柄,用ZwQueryInformationProcess也可以。
如果是判断EPROCESS,直接对比即可。
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-10-17 12:14:48 | 显示全部楼层
回复 3# ok100fen


HdProcessProtectDemo:http://www.m5home.com/bbs/thread-3613-1-1.html
回复

举报

ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
 楼主| 发表于 2010-10-17 14:47:23 | 显示全部楼层
看来是我表达得有点问题
情况是这样的:
我现在已经明白inline hook是什么意思了
也理解了inline hook的基本步骤,
但是有一个问题,就是hook之后,跳到了一个自己写的函数上,
这个自己写的函数,有没有一个通用的也就是不管我hook哪个函数,我都可以跳到这个自己写的通用的函数
然后处理过滤,实现进程的保护。
有没有这样通用的函数
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-10-17 16:28:42 | 显示全部楼层
回复 7# ok100fen


当然没有啦,哪有这种好事。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表