Ret Address Recorder

作者: knowlet -
轉:http://old.xxxxx.im/viewthread.php?tid=25694

還是以前的名字比較好聽我覺得...
這個很好用的喔...稍微改一下還有很多用途...
這裡教了怎麼寫表跟查表...
  1. // Ret Address Recorder
  2. // Auther: Inndy
  3. [ENABLE]
  4. Alloc(HookProc, 128)
  5. Label(LoopSearch)
  6. Label(Return)
  7. Label(AddToList)
  8. Alloc(EspList, 2048)
  9. Alloc(Count, 4)
  10. RegisterSymbol(HookProc)
  11. RegisterSymbol(EspList)
  12. RegisterSymbol(Count)

  14. HookProc:
  15. Pushad
  16. Mov Eax, [Esp+20]
  17. Cmp Eax, 00400000 // [Esp] 下限
  18. Jl Return
  19. Cmp Eax, 01000000 // [Esp] 上限
  20. Jg Return
  21. Mov Ebx, EspList
  22. Mov Ecx, [Count]
  23. Test Ecx, Ecx
  24. Je AddToList
  25. Dec Ecx
  26. LoopSearch:
  27. Cmp [Ebx+Ecx*4], Eax
  28. Je Return
  29. Test Ecx, Ecx
  30. Je AddToList
  31. Dec Ecx
  32. Jmp LoopSearch
  33. AddToList:
  34. Mov Ecx, [Count]
  35. Mov [Ebx+Ecx*4], Eax
  36. Inc [Count]
  37. Return:
  38. Popad
  39. // Orginal Code Here Please

  41. // Jump Back Here Please

  43. // {Address}:
  44. // Jmp HookProc
  45. [DISABLE]
  46. // Restore Hook Here Please

  48. Dealloc(HookProc)
  49. Dealloc(EspList)
  50. Dealloc(Count)
  51. UnregisterSymbol(HookProc)
  52. UnregisterSymbol(EspList)
  53. UnregisterSymbol(Count)

留言

  1. Unknown2013年10月17日 上午11:41

    網址更新囉:http://old.xxxxx.im/viewthread.php?tid=25694

    回覆刪除

張貼留言

本月最夯

偷用電腦,怎知?事件檢視器全記錄!(開機時間、啟動項時間...)

作者: knowlet -
圖片
想知道你的電腦在你不使用的時候是否被開機過嗎?小朋友是不是趁家長不在家的時候偷偷完電腦啊?常常懷疑家裡或公司的電腦被人偷偷開來亂弄東西,可以用下面的方法檢查一下電腦在什麼時候有被開機、登入使用過。 Windows 系統裡的「事件檢視器」會紀錄很多電腦的相關資訊,包含什麼時候開機、登入、登出,或者系統發生哪些錯誤或其他的特殊事件等等,通通會紀錄在「事件檢視器」的日誌中。如果你只是想知道電腦什麼時候開機過的話,可以很輕易的從「事件檢視器」裡查到電腦確實的開機、關機時間。
閱讀完整內容