Подключение системных вызовов из пользовательского пространства в Windows

Question

Я исправляю connect(), чтобы перенаправить сетевой трафик как часть библиотеки (NetHooker), и это хорошо работает, но это зависит от того, будет ли ws2_32.dll оставаться неизменным и не работает, если syscall используется напрямую. Так что мне интересно, если есть способ поймать сам сценарий без драйвера. Кто-нибудь знает, возможно ли это?

Answer 1

Коди, может быть, вы могли бы взглянуть на http://research.microsoft.com/en-us/projects/detours/

Кроме того, я написал код, который, учитывая имя длл экспорта перенаправляет его на другой указатель функции, исправляя образ в памяти, дайте мне знать, если вам нужен код.

Answer 2

Cody,

Вместо подсекать системного вызова, вы можете посмотреть в письменном виде многоуровневого поставщика услуг.

http://www.microsoft.com/msj/0599/LayeredService/LayeredService.aspx

Answer 3

Помимо Detours библиотеки, вы также можете взглянуть на easyhook библиотеку. Обе библиотеки предназначены для исправления изображения в памяти.