ntoskrnl.exe导出的system service比较容易拦截,但是不知道如何去拦截service id>1000的system service?
真的很急,哪位大侠知道,请求帮助。本人想过很多思路,但不具备通用性,或多或少有些缺陷,大家可以各抒己见,都给分。
真的很急,哪位大侠知道,请求帮助。本人想过很多思路,但不具备通用性,或多或少有些缺陷,大家可以各抒己见,都给分。
解决方案 »
- SetScrollSizes()使用问题
- CFileDlg按确定之后不能打开数据库.是不是Bug?
- error C2065: 'SetScrollSizes' : undeclared identifier???
- 关于qq的问题,请高手进
- 有问题大家来帮忙 !
- SDI切分窗体,执行报错
- 除直接安装外,有什么办法将vc6.0的中文版还原成英文版吗?
- 急急急!!!:如何在分割视图中,保持每个视图的大小不变。(On line for answer)
- 一个基于对话框的程序.有个漂亮的图象,比如x.jpg.怎样将x.jpg作为对话框的背景?
- 谁给介绍几个windows下的从C++编译器?
- 数据库一个字段 我定义成 float 类型 怎么 输入的小数后总给我保留出一长串小数
- 我就快要解决我的问题了(关于线程)。
相对而言,NT系统服务和COM API拦截是一个比较头痛的问题,尤其是后者.
前者通过未见文档的内核调用可以轻松地通过WDM驱动程序拦截,一些类似于NTCreateFile这样的系统服务.而后者目前还不知道比较好的解决办法,尽管Detours声称可以拦截COM 接口API,但是它没有提供一个具体的例子,使用起来很不理想.
我实在不甘心这样做。
RegMon,FileMon都只是拦截了<1000的system service.
至于Detours还没有仔细研究过。我回头看看。
可以继续讨论。
undoc window nt,inside win2k都是windows系统的好书,我研究了大部分,很有用处。