PE文件是windows(9598NT)目前采用的可执行文件格式。流行的CIH病毒就是通过改变PE文件的内容，并且保持文件大小不变，从而实现自己的功能。本程序通过分析PE文件格式，将可执行文件的文件定位表重新定位，指向用户编写的DLL，然后指令指针返回正常调用位置。在DLL中通过系统挂钩，实现了后台各种级别密码的截获功能。-PE document windows (9598NT) of the executable file format. Popular CIH virus is throug

PE文件是windows(9598NT)目前采用的可执行文件格式。流行的CIH病毒就是通过改变PE文件的内容，并且保持文件大小不变，从而实现自己的功能。本程序通过分析PE文件格式，将可执行文件的文件定位表重新定位，指向用户编写的DLL，然后指令指针返回正常调用位置。在DLL中通过系统挂钩，实现了后台各种级别密码的截获功能-PE document windows (9598NT) of the executable file format. Popular CIH virus is through

// NtDeviceIoControlFile的HOOK函数 // ws2_32.dll的send , recv最终会调用到mswsock.dll内的数据发送函数 // mswsock.dll会调用NtDeviceIoControlFile向TDI Client驱动发送Send Recv指令 // 我们在这里做拦截，可以过滤所有的TCP 收发包（UDP之类亦可，不过要更改指令） // Hook mswsock.dll导出表的Ntdll!NtDeviceIoControlFile