《detours 笔记》的评论 http://www.boluor.com/detours-notes.html Fri, 03 Feb 2012 01:08:10 +0000 hourly 1 http://wordpress.org/?v=3.2.1 作者:tgyea http://www.boluor.com/detours-notes.html/comment-page-1#comment-1264 tgyea Fri, 07 Jan 2011 07:18:59 +0000 http://www.boluor.com/?p=125#comment-1264 你好,请问如何 卸载拦截呢? 你好,请问如何 卸载拦截呢?

]]> 作者:boluor http://www.boluor.com/detours-notes.html/comment-page-1#comment-1166 boluor Wed, 19 May 2010 06:59:11 +0000 http://www.boluor.com/?p=125#comment-1166 看这篇日志:<a href="http://www.boluor.com/moved-blog-today.html" rel="nofollow">今天给博客搬家啦</a> 看这篇日志:今天给博客搬家啦

]]> 作者:simon http://www.boluor.com/detours-notes.html/comment-page-1#comment-1165 simon Wed, 19 May 2010 06:38:31 +0000 http://www.boluor.com/?p=125#comment-1165 LZ,我想用wordpress做个blog网站,使用美国的服务器。发现你的站点速度挺快的,还能告诉我你是在哪个卖家买到的wordpress主机吗? LZ,我想用wordpress做个blog网站,使用美国的服务器。发现你的站点速度挺快的,还能告诉我你是在哪个卖家买到的wordpress主机吗?

]]> 作者:linger http://www.boluor.com/detours-notes.html/comment-page-1#comment-1163 linger Tue, 18 May 2010 11:57:05 +0000 http://www.boluor.com/?p=125#comment-1163 我看了下您所提到的沙盒的概念。有人解释:沙盘是一种安全软件,可以将一个程序放入沙盘运行,这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。 我的理解为,沙盒或者说沙盘,虽说是一个安全软件,某种程度上,更像一个世外桃源的操作环境,在这个环境中进行的操作不改变系统的任何设置。不知我的理解对否。 另,我看到有人提及360有沙盒模式了,但是QQ好像没有提到~ 这是否意味着我们可以像QQ中添加新的进程,注入DLL啦? ps,I've send an email to your gmail,please check. 我看了下您所提到的沙盒的概念。有人解释:沙盘是一种安全软件,可以将一个程序放入沙盘运行,这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。
我的理解为,沙盒或者说沙盘,虽说是一个安全软件,某种程度上,更像一个世外桃源的操作环境,在这个环境中进行的操作不改变系统的任何设置。不知我的理解对否。
另,我看到有人提及360有沙盒模式了,但是QQ好像没有提到~
这是否意味着我们可以像QQ中添加新的进程,注入DLL啦?
ps,I’ve send an email to your gmail,please check.

]]> 作者:boluor http://www.boluor.com/detours-notes.html/comment-page-1#comment-1158 boluor Sun, 16 May 2010 15:03:33 +0000 http://www.boluor.com/?p=125#comment-1158 DLL的链接方式先看这篇文章吧。 <a href="http://www.boluor.com/two-link-mode-of-dll-and-lib.html" rel="nofollow">Dll的两种链接方式与LIB</a> 要想注入到其他的进程,就不仅仅是修改个DLL了。WIN32下进程都是在自己的虚拟的空间中运行,你的程序要想去把别的程序注入,就必须获得进入的特权,这就是线程注入的知识了。简单说就是OpenProcess,WriteProcessMemory,CreateRemoteThread等函数的使用。你搜下远程线程注入应该可以搜到很多。 ps:qq,360不是那么好注入的,它把自己放到一个沙盒中运行了。你不要着急,走一步问一步的方式对你学习无益,把进程,DLL,内存管理等等相关的好好看看再说吧。 DLL的链接方式先看这篇文章吧。
Dll的两种链接方式与LIB

要想注入到其他的进程,就不仅仅是修改个DLL了。WIN32下进程都是在自己的虚拟的空间中运行,你的程序要想去把别的程序注入,就必须获得进入的特权,这就是线程注入的知识了。简单说就是OpenProcess,WriteProcessMemory,CreateRemoteThread等函数的使用。你搜下远程线程注入应该可以搜到很多。

ps:qq,360不是那么好注入的,它把自己放到一个沙盒中运行了。你不要着急,走一步问一步的方式对你学习无益,把进程,DLL,内存管理等等相关的好好看看再说吧。

]]> 作者:linger http://www.boluor.com/detours-notes.html/comment-page-1#comment-1157 linger Sun, 16 May 2010 14:50:13 +0000 http://www.boluor.com/?p=125#comment-1157 准确地说,我想知道,到底怎么挂钩,即到底将我们写的DLL中进行的修改体现出来~可能是我看书太不够细心,但我真的看不懂~也不知道怎么做~ 恳请你能告诉我~ 准确地说,我想知道,到底怎么挂钩,即到底将我们写的DLL中进行的修改体现出来~可能是我看书太不够细心,但我真的看不懂~也不知道怎么做~
恳请你能告诉我~

]]> 作者:linger http://www.boluor.com/detours-notes.html/comment-page-1#comment-1156 linger Sun, 16 May 2010 14:47:18 +0000 http://www.boluor.com/?p=125#comment-1156 好开心~你竟然能看到~ 我不是很能理解“静态链接的方式”这句话。 我对静态链接和动态链接一个最浅显也是最基本的理解是:静态链接的执行程序能够在其它同类操作系统的机器上直接运行,比如一个EXE文件是在WIN2000系统上静态链接的,那么将该文件直接拷贝到另一台WIN2000的机器上,是可以运行的。 而动态链接的执行程序则不可以,除非把该EXE文件所需的DLL文件都一并拷贝过去,或者对方机器上也有所需的相同版本的DLL文件,否则是不能保证正常运行的。 我觉得我们把SleepHOOKDll.dll拷贝到我们的应用程序中,就是完成了一个动态链接的过程。不知我的理解对否。 其次,我想问,如果系统调用了比如TextOut 这个函数,虽然我在DLL工程中修改了这个TextOut函数,即:将TextOut 的东西也拷贝到了我的一个txt中,但是,我是怎么知道系统调用了这个TextOut函数呢?也就是说,我觉得我做的这个DLL并没能够挂钩到系统中,或者某个特定的进程中~要达到这个目的,到底该怎么做? 最后,在 http://topic.csdn.net/u/20100421/15/bebe3007-6ecd-4af6-b80f-c1a221c61ef9.html 中,这个人说,他已经将DLL注入IE了,我想问问你,这个注入是怎么注入的呀?如果我想把我编写的修改了TextOut 的DLL注入QQ进程中,该怎么做呀? 恳请你的回答~期待你的答复~ 好开心~你竟然能看到~
我不是很能理解“静态链接的方式”这句话。
我对静态链接和动态链接一个最浅显也是最基本的理解是:静态链接的执行程序能够在其它同类操作系统的机器上直接运行,比如一个EXE文件是在WIN2000系统上静态链接的,那么将该文件直接拷贝到另一台WIN2000的机器上,是可以运行的。 而动态链接的执行程序则不可以,除非把该EXE文件所需的DLL文件都一并拷贝过去,或者对方机器上也有所需的相同版本的DLL文件,否则是不能保证正常运行的。
我觉得我们把SleepHOOKDll.dll拷贝到我们的应用程序中,就是完成了一个动态链接的过程。不知我的理解对否。
其次,我想问,如果系统调用了比如TextOut 这个函数,虽然我在DLL工程中修改了这个TextOut函数,即:将TextOut 的东西也拷贝到了我的一个txt中,但是,我是怎么知道系统调用了这个TextOut函数呢?也就是说,我觉得我做的这个DLL并没能够挂钩到系统中,或者某个特定的进程中~要达到这个目的,到底该怎么做?
最后,在 http://topic.csdn.net/u/20100421/15/bebe3007-6ecd-4af6-b80f-c1a221c61ef9.html 中,这个人说,他已经将DLL注入IE了,我想问问你,这个注入是怎么注入的呀?如果我想把我编写的修改了TextOut 的DLL注入QQ进程中,该怎么做呀?
恳请你的回答~期待你的答复~

]]> 作者:boluor http://www.boluor.com/detours-notes.html/comment-page-1#comment-1150 boluor Sun, 16 May 2010 09:06:19 +0000 http://www.boluor.com/?p=125#comment-1150 看你很急,先简单回复下。 在例子中我们手动显示地调用Sleep函数,是因为想确保在执行这个函数之前SleepHOOKDll.dll已经被加载。如果想拦截其他的函数,道理也一样,需要在他们执行之前加载相关的Hook Dll。可以采用静态链接的方式来保证在程序启动时就加载了DLL,但是请注意我在倒数第三段所提到的,编译器可能会把它优化掉,可以用一些方法暂时把优化关闭。比如#pragma optimize("off"),还可以重新开启#pragma optimize("off")。相关的查下MSDN吧。 看你很急,先简单回复下。

在例子中我们手动显示地调用Sleep函数,是因为想确保在执行这个函数之前SleepHOOKDll.dll已经被加载。如果想拦截其他的函数,道理也一样,需要在他们执行之前加载相关的Hook Dll。可以采用静态链接的方式来保证在程序启动时就加载了DLL,但是请注意我在倒数第三段所提到的,编译器可能会把它优化掉,可以用一些方法暂时把优化关闭。比如#pragma optimize(“off”),还可以重新开启#pragma optimize(“off”)。相关的查下MSDN吧。

]]> 作者:linger http://www.boluor.com/detours-notes.html/comment-page-1#comment-1148 linger Sun, 16 May 2010 08:10:50 +0000 http://www.boluor.com/?p=125#comment-1148 谢谢你的讲解~我也照着做了~很棒~呵呵~不过我感觉等待了不止16秒呢~ 想请教您的是:在我们的应用程序中,是用LoardLibrary,然后自己调用了Sleep函数来体现我们在DLL中的关于函数的修改。我想问的是,如果是别的API函数,而不是这个sleep的话,就是那些不是我们调用,而是系统调用的那些函数:比如TextOut一类的函数,那我们到底该怎么处理呀? 如果可以的话,你发个邮件到我的邮箱吧llinggao@gmail.com谢谢你喽~ 但愿您能看到。但愿您能联系我~期待~ 谢谢你的讲解~我也照着做了~很棒~呵呵~不过我感觉等待了不止16秒呢~
想请教您的是:在我们的应用程序中,是用LoardLibrary,然后自己调用了Sleep函数来体现我们在DLL中的关于函数的修改。我想问的是,如果是别的API函数,而不是这个sleep的话,就是那些不是我们调用,而是系统调用的那些函数:比如TextOut一类的函数,那我们到底该怎么处理呀?
如果可以的话,你发个邮件到我的邮箱吧llinggao@gmail.com谢谢你喽~
但愿您能看到。但愿您能联系我~期待~

]]> 作者:jerry http://www.boluor.com/detours-notes.html/comment-page-1#comment-1132 jerry Wed, 21 Apr 2010 06:07:51 +0000 http://www.boluor.com/?p=125#comment-1132 学长,你在不哦?把你qq告诉我吧。嘿嘿…… 学长,你在不哦?把你qq告诉我吧。嘿嘿……

]]>