对创建文件进行重定向

梦已喂马

  可以通过hookAPI得到NtCreateFile的函数地址，转到自定义的函数地址，更改创建路径后 跳转回来
然后再执行、、、、
本人小白一个   只知道这么个思想  也不知道对不对
希望有大牛帮忙给个方法 急求啊、、、
拜谢了！！！！

梦已喂马

貌似自顶不会违规吧
希望有人能看到帮帮忙、、、、再次谢过、、、、、

zapline

你的想法没问题
你可以ssdt hook也可以inline hook
这里有篇文章：http://hi.baidu.com/onepc/blog/item/91f1bd51b66b6c828c5430aa.html

梦已喂马

回复 zapline 的帖子

invoke CreateFile,addr szRegName,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0

弱弱的问句 这里是不是就绕过hook直接创建了文件呢？？前面好多操作看不懂的说、、
得去翻书  百度了、、、、

zapline

梦已喂马 发表于 2011-6-1 11:33
回复 zapline 的帖子

invoke CreateFile,addr szRegName,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTIN ...

createfile在系统底层要调用zwcreatefile
ssdt hook，修改ssdt中zwcreatefile的地址
这时调用createfile，实际上会调用ssdt被修改后所指的自己写的mycreatefile

梦已喂马

回复 zapline 的帖子

这个我知道一点
貌似如果你要重写这个函数？？
不能将创建文件的路径改掉然后调用原来的函数进行创建么？？
不过貌似这样会进入死循环  一直hook住 然后调用 然后又hook、、、、、
好纠结啊、、、、、、、

zapline

梦已喂马 发表于 2011-6-3 09:58
回复 zapline 的帖子

这个我知道一点

你看别人ssdt hook的例子
一般情况，有两种方法
一是自己实现原函数的功能
一是做自己的处理后再调用原函数

梦已喂马

回复 zapline 的帖子

自己实现 貌似会很难吧  微软会让人接触这么底层的东西么？？
做完自己的处理然后再调用原函数  就是我说的 会不会进入死循环的问题
总觉得好麻烦啊 这个东西   这段时间一直在看各种关于ring3 ring0的东西  多 杂 唉、、、
谢谢 zapline的帮忙  真心感谢！！