hook系统时间

stft

我也是刚好用到，在论坛看有人发了切图，我就把源码敲出来了

谢谢坛友提供









hooktime.e (950.89 KB, 下载次数: 137)

2024-1-31 23:48 上传

点击文件名下载附件

w3516330

        感谢分享，很给力！~

临安

LBS3210 发表于 2024-5-24 21:19
举个栗子，GetSystemTime本体在 kernelbase.dll 里，kernel32大部分都在这，我直接把ida里复制过来
void  ...

驱动进行的全局变速 原理是不是也是类似的？只不过hook的是更底层的？

LBS3210

五花牛 发表于 2024-4-4 23:01
比如某个进程调用了如下内核api
------------
GetSystemTime、

举个栗子，GetSystemTime本体在 kernelbase.dll 里，kernel32大部分都在这，我直接把ida里复制过来
void __stdcall GetSystemTime(LPSYSTEMTIME lpSystemTime)
{
  union _LARGE_INTEGER Time; // [rsp+20h] [rbp-28h] BYREF
  struct _TIME_FIELDS TimeFields; // [rsp+28h] [rbp-20h] BYREF

  Time.QuadPart = MEMORY[0x7FFE0014];
  RtlTimeToTimeFields(&Time, &TimeFields);
  lpSystemTime->wYear = TimeFields.Year;
  lpSystemTime->wMonth = TimeFields.Month;
  lpSystemTime->wDayOfWeek = TimeFields.Weekday;
  lpSystemTime->wDay = TimeFields.Day;
  lpSystemTime->wHour = TimeFields.Hour;
  lpSystemTime->wMinute = TimeFields.Minute;
  lpSystemTime->wSecond = TimeFields.Second;
  lpSystemTime->wMilliseconds = TimeFields.Milliseconds;
}
是不是一目了然了

LBS3210

五花牛 发表于 2024-4-4 23:01
比如某个进程调用了如下内核api
------------
GetSystemTime、

进程好办，直接ida pro逆向api所在dll然后hook就行了，就是syscall论坛也有拦截的源码

b0y

煞老尸 发表于 2024-2-11 16:36
111111111111111111111111

GetSystemTime、
GetLocalTime、

上面2一模一样  区别是 第一个是UTC时间  第二个是本机当前时区的时间   比如北京时间  
GetSystemTimeAsFileTime、
找个是文件时间 2个参数都是整数型  长度4

shinbudar

感谢分享，很给力！~

五花牛

比如某个进程调用了如下内核api
------------
GetSystemTime、
GetLocalTime、
GetSystemTimeAsFileTime、
NtQuerySystemTime、
GetSystemTimePreciseAsFileTime

当这些api返回时间的时候 我要替换我自己设置好的时间


类似于RunAsDate，您好方便看下这个怎么实现吗

煞老尸

111111111111111111111111

judykk

感谢分享