2008年11月17日
模拟WSockExpert,使用APIHOOK
摘要: 转自:http://blog.donews.com/zwell/archive/2004/08/31/84513.aspx 不知道大家用过WSockExpert没有, 它可以用来截获指定进程网络数据的传输. 前面我还以为它是通过实时远程注入DLL来更改IAT. 不过后来发现在程序一运行时, 它就已经将DLL插入所有进程了,这个跟冰哥写的那个模拟SOCKCAP的程序很相似. 似乎是将DLL注入所有进... 阅读全文
posted @ 2008-11-17 17:06 有安科技 阅读(841) 评论(0) 推荐(0)
杀毒软件的简单实现
摘要: #include "FunDef.h" int main (int argc, char *argv[]) { if (argc==1) { Usage(argv[0]); return 0; } if (!(ScanFileVXER(argv[1]))) { printf("ScanFileVXER() GetLastError reports %d\n",erron); return 0;... 阅读全文
posted @ 2008-11-17 17:05 有安科技 阅读(479) 评论(0) 推荐(0)
在Windows 2003中HOOK ZwCreateProcessEx
摘要: 作者:ZwelL 工作需要,想控制进程的创建,于是HOOK了ZwCreateProcess,后来发现xp和2003中创建进程的都用NtCreateProcessEx(参见[1])。 但是ZwCreateProcessEx未被ntoskrnl.exe导出,用softice的ntcall命令也没有看到,网上也没有找到相关代码。没办法,跟踪ntoskrnl!ZwCreateProcess >u nto... 阅读全文
posted @ 2008-11-17 09:54 有安科技 阅读(787) 评论(0) 推荐(0)