![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
技术
文章平均质量分 80
zhuerhua
这个作者很懒,什么都没留下…
展开
-
window消息参考大全(转)
消息,就是指Windows发出的一个通知,告诉应用程序某个事情发生了。例如,单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的,这个记录中包含了消息的类型以及其他信息。例如,对于单击鼠标所产生的消息来说,这个记录中包含了单击鼠标时的坐标。这个记录类型叫做TMsg,它在Windows单元中是这样声明的:typeTMsg =转载 2009-04-06 17:44:00 · 341 阅读 · 0 评论 -
Windows下Hook API技术 inline hook
什么叫Hook API?所谓Hook就是钩子的意思,而API是指 Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控制,也就是一般的应用程序都需要调用API来完成某些功能, Hook API的意思就是在这些应用程序调用真正的系统API前可以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲Hook API之 前先来看一下如何Hook消息,例如Hook全局键盘消转载 2009-04-06 17:47:00 · 1080 阅读 · 1 评论 -
转帖 SSDT HOOK拦截远线程的创建(上)
<br /> 在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br /> 最近在自己的毕业设计中转载 2010-06-01 19:55:00 · 928 阅读 · 0 评论 -
转帖 SSDT HOOK拦截远线程的创建(下)
<br />第三部分:从进程句柄获取信息<br /> 在第二部分我们使用了一个前提:可以通过进程句柄得到PID等信息。<br /> 事实上这是可行的,这一部分我们就进行介绍。我这里使用的是炉子大虾的《API HOOK实现ring3的进程保护》一文中提到的方法。<br /> 炉子那篇文章里讲的很详细,这里只说下如何从进程句柄中获取信息吧,在NTDLL中有个函数可以帮助我们:Zw(Nt)QueryInformationProcess,下面是我在《The Undocumented F转载 2010-06-01 19:57:00 · 631 阅读 · 0 评论 -
ssdt 入门
<br />SSDT入门<br /> <br /><br />下载 (22.7 KB)<br /><br />2010-5-2 11:15<br />【图System Module Dependencies】揭示了系统各模块之间的依赖关系(有所简化)<br /><br /><br /><br />从图中可以看出,所有的Win32 API调用最后都转移到了ntdll.dll,而ntdll.dll又将其转移到了ntoskrnl.exe。ntdll.dll是一个操作系统组件,它 为Native API准确地提供转载 2010-06-01 19:58:00 · 740 阅读 · 0 评论