[转载]xHook.rar

提交时间：2004-08-03
提交用户：eyas
工具分类：其它工具
运行平台：Windows
工具大小：58183 Bytes
文件MD5 ：9905724445eacf567ac3be2ccfa4f7f7

当你在网络上抓到一些数据包，想知道这些包是哪个进程发出来的时候，
怎么办？这个小工具也许能帮一些忙。

   这个工具采用的是HOOK进程的winsock API，把一些数据记录下来。
HOOK API在《windows核心编程》提到的有两种，

   (1)修改IAT。缺点：象shellcode中常用的那种根据DLL输出表来计算函数
      地址的方法，修改IAT就无法HOOK到目标函数了。
   (2)修改目标函数的前几字节，跳转到我们的函数，我们的函数里面再把那
      几个字节还原，调用原函数。重复。缺点：多线程环境下这种方法并不
      健壮。
   
   后来我取了一个折中的办法：
   (3)把目标函数的DLL COPY一份到内存中，修改原目标函数的前几字节，跳转
   到我们的函数，在我们的函数中调用原函数新的COPY。这样就解决了前两种
   办法的缺点。（表达能力有限，请看我那糟糕的代码吧^_^）

>> 下载 <<
http://www.xfocus.net/tools/200408/760.html