对创建文件进行重定向
可以通过hookAPI得到NtCreateFile的函数地址,转到自定义的函数地址,更改创建路径后 跳转回来然后再执行、、、、
本人小白一个 只知道这么个思想也不知道对不对
希望有大牛帮忙给个方法 急求啊、、、
拜谢了!!!!
貌似自顶不会违规吧
希望有人能看到帮帮忙、、、、再次谢过、、、、、 你的想法没问题
你可以ssdt hook也可以inline hook
这里有篇文章:http://hi.baidu.com/onepc/blog/item/91f1bd51b66b6c828c5430aa.html 回复 zapline 的帖子
invoke CreateFile,addr szRegName,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0
弱弱的问句 这里是不是就绕过hook直接创建了文件呢??前面好多操作看不懂的说、、
得去翻书百度了、、、、 梦已喂马 发表于 2011-6-1 11:33 static/image/common/back.gif
回复 zapline 的帖子
invoke CreateFile,addr szRegName,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTIN ...
createfile在系统底层要调用zwcreatefile
ssdt hook,修改ssdt中zwcreatefile的地址
这时调用createfile,实际上会调用ssdt被修改后所指的自己写的mycreatefile 回复 zapline 的帖子
这个我知道一点
貌似如果你要重写这个函数??
不能将创建文件的路径改掉然后调用原来的函数进行创建么??
不过貌似这样会进入死循环一直hook住 然后调用 然后又hook、、、、、
好纠结啊、、、、、、、 梦已喂马 发表于 2011-6-3 09:58 static/image/common/back.gif
回复 zapline 的帖子
这个我知道一点
你看别人ssdt hook的例子
一般情况,有两种方法
一是自己实现原函数的功能
一是做自己的处理后再调用原函数 回复 zapline 的帖子
自己实现 貌似会很难吧微软会让人接触这么底层的东西么??
做完自己的处理然后再调用原函数就是我说的 会不会进入死循环的问题
总觉得好麻烦啊 这个东西 这段时间一直在看各种关于ring3 ring0的东西多 杂 唉、、、
谢谢 zapline的帮忙真心感谢!!
页:
[1]