为特定进程挂接注册表访问的简单方法

LONG WINAPI myRegCreateKeyEx(HKEY hKey, LPCTSTR lpSubKey, DWORD Reserved, LPTSTR lpClass, DWORD dwOptions, REGSAM samDesired, LPSECURITY_ATTRIBUTES lpSecurityAttributes, PHKEY phkResult, LPDWORD lpdwDisposition) 
    { 
      //check for suspicious keys being made via the parameters 
      RegCreateKeyEx(hKey, lpSubKey, Reserved, lpClass, dwOptions, samDesired, lpSecurityAttributes, phkResult, lpdwDisposition); 
    }

你可以得到一个非常良好的书面绕道库调用DetourXS这里： http://www.gamedeception.net/threads/10649-DetourXS

这里是他的榜样，如何用它来建立一个弯路代码：

#include <detourxs.h> 

    typedef DWORD (WINAPI* tGetTickCount)(void); 
    tGetTickCount oGetTickCount; 

    DWORD WINAPI hGetTickCount(void) 
    { 
     printf("GetTickCount hooked!"); 
     return oGetTickCount(); 
    } 

    // To create the detour 
    oGetTickCount = (tGetTickCount) DetourCreate("kernel32.dll", "GetTickCount", hGetTickCount, DETOUR_TYPE_JMP); 

    // ...Or an address 
    oGetTickCount = (tGetTickCount) DetourCreate(0x00000000, hGetTickCount, DETOUR_TYPE_JMP); 

    // ...You can also specify the detour len 
    oGetTickCount = (tGetTickCount) DetourCreate(0x00000000, hGetTickCount, DETOUR_TYPE_JMP, 5); 

    // To remove the detour 
    DetourRemove(oGetTickCount);

如果你看不出来，那代码段挂钩的GetTickCount（）和当函数被调用时，他写道：“GetTickCount的上钩！” - 然后他执行函数GetTickCount是它的意图。

对不起，信息如此分散，但我希望这有助于。 :) - 我意识到这是一个古老的问题。 -

来源

2011-06-17 16:39:42 ManAmongHippos

大多数winapi调用为模块间调用生成符号表条目，这使得钩住它们非常简单，您只需要覆盖IAT地址即可。使用诸如MSDetours之类的东西，可以通过几行代码安全地完成。 MSDetours还提供了将自定义dll注入目标进程的工具，以便您可以执行挂接操作。

来源

2011-06-17 17:40:41 Necrolis

为特定进程挂接注册表访问的简单方法

回答

相关问题