监控MessageBox

思路

在ring3:

  1. 我们需要注册和卸载驱动
  2. 找到User32的基址,传给0环
  3. 编写shellcode注入进user32
  4. 打印使用Messagebox的程序

在ring0:

  1. 与3环通信,并接受user32的地址,修改其PTE与PDE的属性
  2. 修改完后给3环发送信息,告知ring 3可以开始inline hook

CODE

目前还没完成,还差一个hook

https://github.com/PYozo/Learn-xp-kernel

posted @ 2021-02-08 16:19  PYozo_free  阅读(137)  评论(0编辑  收藏  举报