请教，关于hook的[加载方式]问题,我1700分一起送,真的没有人会？？？？？？？？？？ (200分)

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-06

• #1

先说一下<br>本人学识少，可能写错，麻烦大家纠正<br><br>本人最近研究hook的东西，目的只是替换一些其他程序的内部处理<br>但是发现大多资料都是如何hook api，如果不是api能否hook阿？<br>再就是我发现一个程序采用了一个我觉得怪异的hook方法，所以来请教大家<br>这个程序是 ogc 10.1b[玩cs的人都知道]<br>我到现在都不能理解它的加载方式，他没有常见的dll部分，而且加载起来cs后自己的进程也是消失的，进城察看下我也没有找到加载ogc和没有加载的区别<br><br><br>我现在就这些事情请教大家拉~~~<br><br>

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-06

• #2

忘记说了~那个ogc我没办法跟踪<br><br>跟踪后就关闭计算机。。<br>

 

H

hygsxy

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #3

cs本人水平太差。。。哎。。。

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #4

首先感谢楼上的光临这个问题<br><br>但是问题还没有得到解答阿~<br>求助阿~

 

来

来如风

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #5

ogc是什么啊？<br><br>我CS也常玩的啊，不过好象只有一个cstrike.exe吧？

 

R

rollinvj

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #6

将自己的代码嵌入正在运行的某个进程中<br>好象叫远程线程技术

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #7

ogc是一个cs的外挂程序，用它来加载cstrike.exe可以得到特殊的效果<br>就是作弊拉~，我现在不是研究如何作弊<br>我只是对它的加载方式十分的好奇，因为加载后的和没有加载过的进程内容没有什么不同<br>没有hook注入，我想请教大家的就是这个问题啦~<br>这个是他的执行档案<br>http://80.190.250.253/site/download.php?dl_id=14

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #8

我在网上搜索了一下<br>常见的 有<br>debug方式的hook<br>dll方式的远程注入<br><br>但是奇怪的就是这个并没有采用这样的方式<br>我很想知道这个另外的方式是什么~<br><br>它加载cstrike.exe后自己立刻就退出了内存<br>这时候跟踪 cstrike.exe 也是不可能的<br>一旦跟踪就会关闭计算机。。。<br><br><br>求教个位高人拉~<br>

 

X

xeen

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #9

应该是Dll注入,将Dll注入目标进程后外挂程序就退出了。

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #10

问题是他没有相关的dll阿~<br>进程察看我也注意了~加载和非加载的状态下调用的动态库是相同的<br>

 

R

rollinvj

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #11

钩子不一定是DLL的

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #12

是阿~不一定是dll的<br>但是应该可以肯定不是远程注入的方式<br>他并没有向cstrike.exe的进程内附加任何东西啊~<br>怪就是这里怪啊~。。<br><br>所以才来这里请教大家~

 

T

thx1180

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #13

http://www.delphibbs.com/delphibbs/dispq.asp?lid=2175194

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #14

来自：thx1180, 时间：2004-6-7 11:36:35, ID：2649787<br>http://www.delphibbs.com/delphibbs/dispq.asp?lid=2175194 &nbsp;<br>并非这样的方法~。。<br>我仔细看过他的文件调用<br>除了调用过自己的配置文件就没有了~<br>

 

A

Another_eYes

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #15

所谓注入只不过是将其它地方的代码写入目标进程空间然后能让它运行而已, 所以复制的代码并没有规定必须在dll中呀, 它完全可以将自身exe中的某段代码注入对方......

 

H

hfghfghfg

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #16

可以通过hook<br>将自己的dll 注入 exe中<br>然后 修改函数地址<br><br>

 

W

wr960204

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #17

不一定要是API，只要是动态链接库中的函数都可以用钩子截获

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #18

---<br>来自：Another_eYes, 时间：2004-6-7 12:15:01, ID：2649911<br>所谓注入只不过是将其它地方的代码写入目标进程空间然后能让它运行而已, 所以复制的代码并没有规定必须在dll中呀, 它完全可以将自身exe中的某段代码注入对方...... &nbsp;<br>---<br>您说的很对，不过我还是比较疑惑，同类的软件我也察看过一些，大多是建立远程先程的方式启动，但是这个并没有啊~所以才想研究这个东西是不是才用了另外的什么方式？<br>这个东西调用的api大多不是常见hook中使用的。<br><br>我用工具把内存数据截取出来过 加载和非加载的长度相同 对比也是相等的~我认为这个说明代码并没有写入cstrike.exe的内存空间（我并不知道我的想法是否正确）。<br>还望高人来指点一下

 

S

sdv

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #19

--<br>来自：wr960204, 时间：2004-6-7 12:24:03, ID：2649931<br>不一定要是API，只要是动态链接库中的函数都可以用钩子截获 &nbsp;<br>--<br>那么非动态链接库内的定义是否也可以截获？

 

A

Another_eYes

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-06-07

• #20

那么是否可以认为cs原来就具备您说的特效(比如说调试时用的),只不过发布时某些开关关闭了而已, 而这个外挂所做的只是重新打开这些开关罢了. 这样的话根本就不需要任何hook,当然你也就跟踪不了了