問這種問題不會有好結果的。我簡單給妳說壹下思路和原理。該功能源自RING3下的NTDLL.DLL,對應的系統服務功能的地址保存在SSDT。不知道妳問的是應用層還是內核層。我單獨告訴妳吧。在RING3下,妳可以寫壹個DLL註入到每個進程中,然後在每個進程中修改系統動態鏈接庫的導出表,也就是IAT鉤子。為了得到原始函數地址,首先要打開磁盤上的NTDLL.DLL文件,解析文件的導出表(EAT),根據磁盤文件中記錄的NTDLL.DLL和RVA的內存基址,手動計算NtReadVirtualMemory函數的地址。在RING0下,直接修改SSDT表可以掛接NtReadVirtualMemory系統服務。為了獲得SSDT中每個例程的原始地址,還需要自己解析磁盤文件(ntoskrnl.exe)。網上有很多關於SSDT·胡克的內容。看雪的時候發現了壹個不錯的帖子。可以參考壹下:
很久以前我用VB6寫了壹個程序檢測ring3下的吃鉤/IAT鉤,但是只在XP下測試過,現在很少有人用VB6了。這個代碼可能對妳沒有任何參考價值。如果有必要,妳可以去我的博客找naylon.0ginr.com的代碼。
上一篇:二進制PSO算法下一篇:用matlab求反函數值