[关闭]
@zoand 2015-06-22T20:05:54.000000Z 字数 247 阅读 1114

关于IMAGE回调拦截DLL

amd64驱动

在WIN64系统上利用IMAGE回调拦截DLL,有两个要注意的地方:

1.PID不为0或者4,就一定是进程加载DLL。
2.由于WIN64系统上存在两种类型的DLL,所以务必判断DLL的类型。

如果是64位DLL,在入口写:

  1. xor eax,eax
  2. ret

如果是32位的DLL,则在入口写:

  1. xor eax,eax
  2. retn 0xC

至于怎么判断DLL的类型,请仔细看PE32+那一章。

来源:http://www.vbasm.com/thread-8152-1-1.html

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注