文件名称:inline-hook
- 所属分类:
- 钩子与API截获
- 资源属性:
- [Windows] [Visual.Net] [源码]
- 上传时间:
- 2013-09-22
- 文件大小:
- 272kb
- 下载次数:
- 0次
- 提 供 者:
- Lord No********
- 相关连接:
- 无
- 下载说明:
- 别用迅雷下载,失败请重下,重下不扣分!
介绍说明--下载内容均来自于网络,请自行研究使用
Il y a quelques temps, j avais publié sur le blog la technique de l IAT Hook qui permettait de détourner l appel d une fonction via la table d importation.
Mais cela a ses limites: si vous posez un hook après que le programme ai récupéré l adresse de la fonction, cela ne fonctionnera pas. De même si le programme a utilisé GetProcAddress.
Ici, nous changeons donc de tactique: plutô t que de modifier l adresse de la fonction, nous allons modifier le code de la fonction pour la faire sauter via l instruction JMP (0xE9) sur notre fonction.
Pour ce faire, j ai donc dû calculer la taille des instructions et j ai donc utilisé le projet x86ime.
-Il y a quelques temps, j avais publié sur le blog la technique de l IAT Hook qui permettait de détourner l appel d une fonction via la table d importation.
Mais cela a ses limites: si vous posez un hook après que le programme ai récupéré l adresse de la fonction, cela ne fonctionnera pas. De même si le programme a utilisé GetProcAddress.
Ici, nous changeons donc de tactique: plutô t que de modifier l adresse de la fonction, nous allons modifier le code de la fonction pour la faire sauter via l instruction JMP (0xE9) sur notre fonction.
Pour ce faire, j ai donc dû calculer la taille des instructions et j ai donc utilisé le projet x86ime.
Mais cela a ses limites: si vous posez un hook après que le programme ai récupéré l adresse de la fonction, cela ne fonctionnera pas. De même si le programme a utilisé GetProcAddress.
Ici, nous changeons donc de tactique: plutô t que de modifier l adresse de la fonction, nous allons modifier le code de la fonction pour la faire sauter via l instruction JMP (0xE9) sur notre fonction.
Pour ce faire, j ai donc dû calculer la taille des instructions et j ai donc utilisé le projet x86ime.
-Il y a quelques temps, j avais publié sur le blog la technique de l IAT Hook qui permettait de détourner l appel d une fonction via la table d importation.
Mais cela a ses limites: si vous posez un hook après que le programme ai récupéré l adresse de la fonction, cela ne fonctionnera pas. De même si le programme a utilisé GetProcAddress.
Ici, nous changeons donc de tactique: plutô t que de modifier l adresse de la fonction, nous allons modifier le code de la fonction pour la faire sauter via l instruction JMP (0xE9) sur notre fonction.
Pour ce faire, j ai donc dû calculer la taille des instructions et j ai donc utilisé le projet x86ime.
(系统自动生成,下载前可以参看下载内容)
下载文件列表
Release
.......\x86.exe
.......\x86.pdb
.......\_virus.txt
x86
...\main.c
...\Release
...\.......\CL.read.1.tlog
...\.......\CL.write.1.tlog
...\.......\link.read.1.tlog
...\.......\link.write.1.tlog
...\.......\main.obj
...\.......\mt.read.1.tlog
...\.......\mt.write.1.tlog
...\.......\vc100.pdb
...\.......\x86.Build.CppClean.log
...\.......\x86.exe.intermediate.manifest
...\.......\x86.lastbuildstate
...\.......\x86.log
...\.......\x86.write.1.tlog
...\.......\x86im.obj
...\.......\x86im_fmt.obj
...\x86.vcxproj
...\x86.vcxproj.filters
...\x86.vcxproj.user
x86im
.....\x86im.c
.....\x86im.h
.....\x86im_fmt.c
.....\x86im_fmt.h
.....\x86im_gen.h
.....\x86im_io.h
.....\x86im_itbl.h
x86.sln
x86.suo