我目前正在通过dll注入来挂钩ntdll.dll调用。 首先,我通过CreateRemoteThread()
在现有的过程中创建线程,然后我通过LoadLibrary
加载我的dll,最后在PROCESS_ATTACH
上挂断电话。ntdll.dll调用挂钩问题
注入工作正常,但后来我想记录所有注册表和文件系统查询。问题是它无法正常工作。
我决定通过PasteBin发布代码,因为piece很大。这里是链接: http://pastebin.com/39r4Me6B
我想挂钩ZwOpenKey
,然后记录关键内容,然后启动“真”功能的指针。函数NOpenKey
被执行,但进程停止没有任何错误。
有没有人看到任何问题?