2011年12月_ithzhang

12月 11月 10月 09月 08月 07月 06月 04月 03月 01月

转载深入理解指针函数

在写《windows核心编程系列》谈谈修改导入段拦截API中，遇到了函数指针，由于以前接触甚少，花了很久才弄明白。见到一篇文章，对函数指针介绍的比较好。便转载至此。转自：http://blog.sina.com.cn/s/blog_5e8facd20100qn20.html1.指针函数的定义顾名思义，指针函数即返回指针的函数。其一般定义形式如下：类型名 *函数

2011-12-14 20:17:39 1319

原创《windows核心编程系列》二十二谈谈修改导入段拦截API。

一个模块的导入段包含一组DLL。为了让模块能够运行，这些DLL是必须的。导入段还包含一个符号表。它列出了该模块从各DLL中导入的符号。当模块调用这些导入符号的时候，系统实际上会调用转换函数，获得导入函数在导入表的地址，然后再跳到相应的位置。如果我们能将导入段中相应导入函数的地址替换成自定义的函数的地址，即可实现对该函数的拦截。在自定义的函数中，我们既可以调用拦截的函数，也可以执行其他工作。

2011-12-14 19:49:11 4902 1

原创用MFC输出所有导入函数名称时遇到的问题。

用MFC写通过修改导入段的IAT来达到API拦截程序时，写了一个函数列举了所有导入函数的函数名。、看代码：HMODULE hModule=GetModuleHandle(NULL); ULONG size; PIMAGE_IMPORT_DESCRIPTOR pImport=(PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData

2011-12-13 12:38:30 2237

原创《windows核心编程系列》二十一谈谈基址重定位和模块绑定

每个DLL和可执行文件都有一个首选基地址。它表示该模块被映射到进程地址空间时最佳的内存地址。在构建可执行文件时，默认情况下链接器会将它的首选基地址设为0x400000。对于DLL来说，链接器会将它的首选基地址设为0x10000000，然后将该地址以及代码、数据的相关地址都写入它们的PE文件中。当它们被加载时，加载程序读取首选基地址的值，并试图把它们加载到相应位置。对于可执行文件和DLL中

2011-12-09 22:52:47 6790

原创《Windows核心编程系列》二十谈谈DLL高级技术

本篇文章将介绍DLL显式链接的过程和模块基地址重定位及模块绑定的技术。第一种将DLL映射到进程地址空间的方式是直接在源代码中引用DLL中所包含的函数或是变量，DLL在程序运行后由加载程序隐式的载入,此种方式被称为隐式链接。第二种方式是在程序运行时，通过调用API显式的载入所需要的DLL，并显式的链接所想要链接的符号。换句话说，程序在运行时，其中的一个线程能够显式的将

2011-12-07 22:24:05 11209 1

原创《windows核心编程系列》十九谈谈使用远程线程来注入DLL。

windows内的各个进程有各自的地址空间。它们相互独立互不干扰保证了系统的安全性。但是windows也为调试器或是其他工具设计了一些函数，这些函数可以让一个进程对另一个进程进行操作。虽然他们是为调试器设计的，但是任何应用程序都可以调用它们。接下来我们来谈谈使用远程线程来注入DLL。从根本上说，DLL注入就是将某一DLL注入到某一进程的地址空间。该进程中的一个线程调用Loa

2011-12-05 17:41:57 8526

原创《windows核心编程系列》十八谈谈windows钩子

windows应用程序是基于消息驱动的。各种应用程序对各种消息作出响应从而实现各种功能。 windows钩子是windows消息处理机制的一个监视点，通过安装钩子可以达到监视指定窗口某种类型的消息的功能。所谓的指定窗口并不局限于当前进程的窗口，也可以是其他进程的窗口。当监视的某一消息到达指定的窗口时，在指定的窗口处理消息之前，钩子函数将截获此消息，钩子函数既可以加工处理该消息，也可以

2011-12-01 16:47:16 16381 5