1.DLL中需要导出的函数前加__declsepc(dllexport)就可以了
2.__cplusplus必须是小写
3.用HMODULE做基址时,要转化为(BYTE*)
4.Windows消息分为队列消息和非队列消息,WH_GETMESSAGE不能取到非队列消息,用SendMessage发送的消息不经过队列,用PostMessage发送的消息被放入队列
5.PE PIMAGE_IMPORT_DESCRIPTOR:OriginalFirstThunk可以用来转换为PIMAGE_IMPORT_BY_NAME,以获取文件名和hint.
但是,PIMAGE_IMPORT_DESCRIPTOR:FirstThunk不能转为PIMAGE_IMPORT_BY_NAME,他只是表示地址
重写导入表时,
int *myaddr = (int*)NewFreeLibrary;
::WriteProcessMemory(hProcess, lpAddr, &myaddr, sizeof(DWORD), &BytesWritten); //注意是&myaddr,如果没有取地址-->崩溃!
6.系统有2个SSDT表, 一个是KeServiceDescriptorTable(ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(ntoskrnl.exe未导出)
7.做SSDT钩子时,可以call myfunction,但是做Detour时,必须mov eax,myfunction,call eax,否则崩溃。。为毛?
扫一扫
26万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
