wnzskj 【搬运】【尾部HOOK】调用NtSetInformationProcess修改InstrumentationCallback
前言:
- 本程序只能在VISTA以上且CPU支持快速调用的系统上使用!
- 想深入了解原理的易友可参考:利用KPROCESS结构的InstrumentationCallback域实现Hook
- 本方法非常有意思且几乎无痕,其功能和稳定性远远强于:【易首发】Hook一个API就可以实现Hook亿个API吗?
正文:
- 本程序无非就是NtSetInformationProcess的一个小应用,注意:InstrumentationCallback是在程序调用了syscall之后,调用ret之前的回调,并不能阻止API的运行。不过可以干扰API返回值,同时执行一些其他的奇奇怪怪的命令。
- 程序运行过程中用了一点汇编,不过不要紧:
- 测试Hook OpenProcess:
- 测试Hook全部需要调用syscall的API:
本站资源多为网络收集,如涉及版权问题请及时与站长联系,微信公众号:开朗的ZS,我们会在第一时间内删除资源。
