本來(lái)想寫(xiě)一個(gè)U盤(pán)保存刪除過(guò)的程序，以為就只要修改IAT(PE的導(dǎo)入表就可以了)，但發(fā)現(xiàn)exploere根本就沒(méi)有用直接調(diào)用文件操作API，
而且是通過(guò)GetProcessAddr 來(lái)獲得API 地址， 而且還是全局保存這個(gè)變量，因?yàn)槲液竺鍴OOK GetProcessAddr ，在explorer正常運(yùn)行的時(shí)候去遠(yuǎn)程注入進(jìn)出，發(fā)現(xiàn)后面exploere根本就沒(méi)有調(diào)用了，所以推出應(yīng)該用的全局變量。
后面在網(wǎng)上用VB HOOK exploere ，所以我沒(méi)有學(xué)過(guò)VB，但那個(gè)種高級(jí)語(yǔ)言，只要學(xué)過(guò)c語(yǔ)言的人基本上都能看的懂。原來(lái)就覆蓋API.
后面用VC實(shí)現(xiàn)了這個(gè)功能，不過(guò)沒(méi)有一點(diǎn)成就感，畢竟是看別人代碼寫(xiě)的。

后面我一個(gè)方法：CreateProcess exploere然后 掛起，然后遠(yuǎn)程注入 掛鉤GetProcess， 但是他要獲取文件操作的API 就是返回我的設(shè)置的API。如果不是就返回真真的GetProcessAddr 
這樣確實(shí)檢測(cè)到exploere 確實(shí)調(diào)用那個(gè)API。但貌似還沒(méi)有攔截到文件操作 . 不知道為什么，思考了好幾天，沒(méi)有解決。出現(xiàn)了一些奇怪的想象。
看來(lái)操作這種系統(tǒng)有關(guān)的程序，還是比較困難。很多奇怪的現(xiàn)象會(huì)出現(xiàn)。
什么exploere不能夠恢復(fù)線(xiàn)程，什么exploere訪(fǎng)問(wèn)異常。弄到最還是沒(méi)有通過(guò)自己方法解決，如果用覆蓋API方法，我就沒(méi)有想寫(xiě)這個(gè)程序的沖動(dòng)了。
不過(guò)寫(xiě)這個(gè)程序，又重新學(xué)習(xí)了一下PE，對(duì)PE有一定理解?；蛟S 應(yīng)了那句生活處處有學(xué)問(wèn)。


這幾天，看了ACE 1卷， 以前看在學(xué)?？床欢谡f(shuō)什么，現(xiàn)在有了一定理解。也看了 我們c++ 博客園 陳碩 出版一本書(shū) 網(wǎng)絡(luò)的書(shū)籍。
寫(xiě)蠻好，但比較散，不適合我這種沒(méi)有實(shí)際工作中開(kāi)發(fā)網(wǎng)絡(luò)服務(wù)器。
有時(shí)間研究一下他庫(kù)，寫(xiě)一個(gè)windows下這種庫(kù)。

我還是好好研究我一下網(wǎng)絡(luò)東西，專(zhuān)心搞一門(mén)。

上面說(shuō)的環(huán)境XP。 WIN7 exploere 文件操作已經(jīng)不一樣了用COM ，網(wǎng)上有類(lèi)似的代碼。