xHook.rar提交时间:2004-08-03 提交用户:eyas 工具分类:其它工具 运行平台:Windows 工具大小:58183 Bytes 文件MD5 :9905724445eacf567ac3be2ccfa4f7f7 当你在网络上抓到一些数据包,想知道这些包是哪个进程发出来的时候, 怎么办?这个小工具也许能帮一些忙。 这个工具采用的是HOOK进程的winsock API,把一些数据记录下来。 HOOK API在《windows核心编程》提到的有两种, (1)修改IAT。缺点:象shellcode中常用的那种根据DLL输出表来计算函数 地址的方法,修改IAT就无法HOOK到目标函数了。 (2)修改目标函数的前几字节,跳转到我们的函数,我们的函数里面再把那 几个字节还原,调用原函数。重复。缺点:多线程环境下这种方法并不 健壮。 后来我取了一个折中的办法: (3)把目标函数的DLL COPY一份到内存中,修改原目标函数的前几字节,跳转 到我们的函数,在我们的函数中调用原函数新的COPY。这样就解决了前两种 办法的缺点。(表达能力有限,请看我那糟糕的代码吧^_^) >> 下载 << |
