hook
关注
分享
扫一扫
linuxheik
这个作者很懒,什么都没留下…
展开
-
HOOK的实例
本人正在学习钩子,求一个关于HOOK的实例!2008-06-27 17:42249524324 | 分类:VC++ | 浏览1546次本人因为兴趣正在学习钩子,请提供以下实例的MFC工程,建立一个空的对话框工程,然后把HOOK掉别的程序调用的TerminateProcess函数,最好是只HOOK掉对这个程序的进程执行的TerminateProcess 如果不能实现后面的,实现前面的转载 2013-04-15 14:55:07 · 1413 阅读 · 0 评论 -
gdb反汇编
gdb反汇编好吧,我承认我对gdb只是一知半解,学无止境 1、disassemble反汇编命令:disassemble 是以反汇编清单的形式输出内存的内容,表示的格式由命令set disassembly-flavor确定1.1不带参数默认的反汇编范围是 所选择帧的pc附近的函数1.2单个参数 就是pc, 当然也可以是函数名,因为函转载 2013-12-24 15:08:21 · 5226 阅读 · 0 评论 -
dup and dup2的剖析
dup and dup2的剖析dup和dup2都可用来复制一个现存的文件描述符,使两个文件描述符指向同一个file结构体。如果两个文件描述符指向同一个file结构体,File Status Flag和读写位置只保存一份在file结构体中,并且file结构体的引用计数是2。如果两次open同一文件得到两个文件描述符,则每个描述符对应一个不同的file结构体,可以有不同的File St转载 2014-03-05 20:01:04 · 620 阅读 · 0 评论 -
又是一个APIHOOK
又是一个APIHOOK借用了海风月影的HookApi 0.5的一些思路;又是一个APIHOOK,没什么特别的!能顺利完成任务,没有什么多余的!代码里用到了libdasm,去下载一个吧!HookProc的函数类型和原来的api一样,只是参数比原API多2个DWORD WINAPI HookProc(DWORD RetAddr ,__pfnXXXX pfnXXXX, ...);转载 2015-10-19 21:42:47 · 581 阅读 · 0 评论 -
jmp address windows hook
以下代码是sysnap早期发表的inlinehook ObReferenceObjectByHandle()的代码。大部分看懂了,但是有些看不懂,google也查了,qq群也问了。哪位高手有时间给科普下哈~ 可怜下偶们菜鸟吧。。。__declspec(naked) T_ObReferenceObjectByHandle(IN HANDLE Handle,IN ACCESS_MASK转载 2015-10-19 21:33:47 · 656 阅读 · 0 评论 -
Detours 使用方法 HOOK API
Detours 使用方法 HOOK API [复制链接] liuyuxi 发表于 2015-1-11 00:03:26 | 显示全部楼层一、Detours库的来历及下载: Detours库类似于WT转载 2015-10-20 10:59:37 · 1037 阅读 · 0 评论 -
恢复平衡0x8b,0xff,0x55,0x8b,0xec
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行2013年02月22日 ⁄ 综合 ⁄ 共 3602字 ⁄ 字号 小 中 大 ⁄ 评论关闭作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731转载 2015-10-20 14:53:22 · 2261 阅读 · 0 评论 -
中转inline hook,不需要恢复首字节的hook
中转inline hook,不需要恢复首字节的hook分类: HOOK2015-02-23 23:38 446人阅读 评论(1) 收藏 举报HOOKinline hook注:我实验的环境:win7 x64经验证XP会有稍微区别,主要是我本次实验HOOK的API, 从XP到WIN7微软有了些许改变。-----------------------------转载 2015-10-20 10:26:08 · 734 阅读 · 0 评论 -
mov edi,edi - hook api
mov edi,edi - hook api系统: windows xp查看系统函数的反汇编代码时会发现开头有个"mov edi,edi"(2字节),再往前则是5个nop指令(当然这不会引人注意),可是"mov edi,edi"有什么用了.上网搜索"mov edi,edi",结果让人惊奇,据说系统函数都添加了这段"无用"的代码,为的是Hot Patching,详细内容请自行搜索.通转载 2015-10-20 11:03:43 · 860 阅读 · 0 评论 -
wins hook
JMPInstruction[10] = { 0x8B, 0xFF, 0x55, 0x8B, 0xEC, 0xE9, 0x00, 0x40, 0x00, 0x00 };oxE9 = jmp __asm{start:mov edi, edipush ebpmov ebp, espjmp start} 探索NDIS HO转载 2013-04-17 10:13:06 · 720 阅读 · 0 评论 -
GBK和UTF8之间的转换 开源
My StudyAbout My Learn or Study etc.GBK和UTF8之间的转换By Cnangel on October 8, 2012 10:10 AM | No Comments关于GBK和UTF-8之间的转换,很多初学者会很迷茫。一般来说GBK和UTF-8是文字的编码方式,其对应的转载 2015-10-21 20:20:41 · 2153 阅读 · 0 评论 -
一般函数指针和类的成员函数指针
一般函数指针和类的成员函数指针转载请注明原文网址: http://www.cnblogs.com/xianyunhe/archive/2011/11/26/2264709.html函数指针是通过指向函数的指针间接调用函数。函数指针可以实现对参数类型、参数顺序、返回值都相同的函数进行封装,是多态的一种实现方式。由于类的非静态成员函数中有一个隐形的this指针,因此,类的成员函数转载 2016-09-05 22:43:55 · 334 阅读 · 0 评论 -
dl_iterate_phdr
http://www.helplib.net/s/linux.die/65_1099/man-3-dl-iterate-phdr.shtmlhttp://linux.die.net/man/3/dl_iterate_phdrdl_iterate_phdr(3)linux man page名称dl_iterate_phdr 遍历共享对象列表staging转载 2013-12-23 11:47:57 · 6021 阅读 · 0 评论 -
hook方法
dl_iterate_phdr转载 2013-12-23 11:44:17 · 845 阅读 · 0 评论 -
在Linux程序中输出函数调用栈
在Linux程序中输出函数调用栈12/23. 2013程序发生异常时,将函数的调用栈打印出来,可以大大提高定位效率。Linux中提供了三个函数用来获取调用栈:12345678/* 获取函数调用栈 */int backtrace(void **buf转载 2013-12-28 17:03:55 · 959 阅读 · 0 评论 -
hook库
detourattach detourRestoreAfterWithdetourTransactionBegin detourUpdatethread(getcurrentthread())原创 2013-04-15 16:20:29 · 949 阅读 · 0 评论 -
Hook技术3 建立远程线程的方法
Hook技术3 建立远程线程的方法分类: Hook技术心得2008-08-31 20:00 400人阅读 评论(0) 收藏 举报hooknullwinapiattributeswindowsmodule这是我觉得一种非常好的Hook技术,自己也非常喜欢,我先引用Windows核心编程里的讲解,最后在文后附上一个封装好的类,这种方法非常适合在别人的程序里隐藏自己的程序转载 2013-04-15 16:17:47 · 727 阅读 · 0 评论 -
linux hook 技术
#include #include #include #include #include #include #include #define CLEAR_CR0 asm ("pushl %eax\n\t" \"movl %cr0, %eax\n\t" \"andl转载 2013-04-16 14:54:53 · 1889 阅读 · 0 评论 -
API HOOK
本来这个方法是API HOOK中经常用到,但是我想试试在单个程序中实现,为何运行时总是错误本来是一个函数跳另外一个的,我又后退了一步,只是用一个函数自己的前面8字节修改自己,还是会错误了??void CJmpDlg::OnButton1() { //对应对话框的Change按钮change(); //}void CJmpDlg::OnButto转载 2013-04-17 10:25:41 · 837 阅读 · 0 评论 -
向正在运行的Linux应用程序注入代码
向正在运行的Linux应用程序注入代码 0x80 @ 系统安全 2012-12-06 共 7468 人围观 小编的话:感谢0×80的认真翻译,辛苦:) ,各位同学,不要吝惜你的顶和评论哦!原作者:Gregory Shpitalnik翻译:0×801、简介假设Linux上正在运行某程序,像Unix守护程序等,我们不想终止该程序,但是同时转载 2013-04-17 11:41:13 · 1258 阅读 · 0 评论 -
so 动态加载库 Hotpatch
so 动态加载库 Hotpatch作者 fmms 2011-10-10 22:04:50Hotpatch 是一个允许正在运行的进程动态加载一个 so 库的 C 库,类似于 Win32 上的 CreateRemoteThread() API。和其他现有的动态加载方案相比,Hotpatch 的优点是在加载 so 库之后将会恢复原先进程的运行状态。开发转载 2013-04-16 14:46:31 · 1712 阅读 · 0 评论 -
linux dl_open hook
http://www.myhack58.com/Article/html/3/68/2012/35408.htm一步一步走进Linux HOOK API(八)分类: Linux2012-07-23 21:30 385人阅读 评论(1) 收藏 举报linuxapihookstructnull工作最近实在是太忙了.学校毕业的事情太麻烦,手转载 2013-04-17 11:11:59 · 1593 阅读 · 0 评论 -
使用injectso 技术注入mtrace,对进程进行内存检测
使用injectso 技术注入mtrace,对进程进行内存检测。来源: ChinaUnix博客 日期: 2007.04.13 17:28 (共有条评论) 我要评论 在开发过程中,我们可以在程序中调用mtrace函数,来对内存管理进行跟踪。可如果已经编译好的程序,我们该如何进行跟踪呢?这里,我们可以采用inje转载 2013-04-18 17:32:24 · 975 阅读 · 0 评论 -
使用injectso 技术注入mtrace,对进程进行内存检测 源码
#include #include #include #include #include #include #include #include #include #include #include #define IMAGE_ADDR 0x08048000void ptrace_readreg(int pid, struct user_regs_struct *regs);转载 2013-04-18 17:34:08 · 1024 阅读 · 0 评论 -
C++内存泄露检测器(库注入方法)
C++内存泄露检测器(库注入方法) 2012-06-18 15:55:04分类: C/C++codeproject上的一篇文章,翻译过来共享:C++ Memory Leak FinderC++内存泄露检测器 leakfinder.zip 作者:Fredrik Bornander(高级攻城狮)Introduction 引言 In this转载 2013-04-19 14:25:49 · 1681 阅读 · 0 评论 -
Linux的Core文件调设置方法
49Linux的Core文件设置与调试分类: C/C++, Linux/Ubuntu | 作者: ju | 访问:863 views | | 查看评论 发表评论标签: core,dump,gdb,linux,ulimit一、运行时错误任何人写程序都会出错,正如《C++编程规范》所说,真正可怕的错误不是编译时的错误,而是运行转载 2013-09-20 15:05:29 · 1707 阅读 · 0 评论 -
类调用堆栈stdcall thiscall
看deom吧,两个对比C/C++ code?123456789101112131415161718192021222324252627282930313233343536373839404142转载 2017-07-07 09:53:05 · 380 阅读 · 0 评论