摘要:
1.消息钩子 2.OpenProcess,然后WriteProcessMemory,再然后LoadLibrary Hook函数 1.Hook ADT 2.Inline hook(jmp HOOK) 阅读全文
posted @ 2010-11-02 20:57
Fan Zhang
阅读(310)
评论(0)
推荐(0)
摘要:
查找所有设备,从中间找到KeyboardClass0或者kbdclass创建的设备 !object \device 查找设备对象的IRP !irpfind 0 0 device 80e03e38 查看IRP具体信息 !irp 80d839b8 查找发送IRP的线程 !thread 80df54b8 显示Cid 01d0.0210 得知进程ID=01d0,线程ID=0210 !process 01d... 阅读全文
posted @ 2010-11-02 20:56
Fan Zhang
阅读(1201)
评论(0)
推荐(0)
浙公网安备 33010602011771号