[讨论]对《内核级HOOK的几种实现与应用》一文的疑问
议题作者:uncledo见[url=http://www.xfocus.net/articles/200303/499.html]http://www.xfocus.net/articles/200303/499.html[/url]
这篇文章被转载了n次了,
3、 HOOK PE 方法
里面应该把MyStrchr函数改为strrchr函数,害得我在这想了很久(之前就有点模糊)
文章里的MyGetModuleBaseAddress函数应该当成工具函数记住,太有用了:biggrin:
我的疑问是 :如何才能知道HookNtCreateFile函数成功了呢?
也就是怎样才能在dbgview里看到那句DbgPrint("Hook ZwCreateFile() \n");:shocked: 在你成功hook了NtCreateFile之后,你再随便写个程序调用CreateFile API,就会跳转到HookNtCreateFile()例程中,这时就能看到DbgView的输出了。
查看是否hook成功可以使用冰刃,gmer ,Rootkit Unhooker,Syscheck, WsSyscheck,超级巡警等可以看SSDT表的工具。如果成功的话,可以显示出来新的NtCreateFile()地址和所在模块,也就是你的驱动了。 INT 2E法对XP,2003无效了吧
页:
[1]