- 博客(4)
- 收藏
- 关注
RSS订阅转载 [dll注入实现IAT勾取] 计算器显示中文
勾取dll源码详解:首先在创建时候来保存原始IAT地址到全局变量,然后通过Hook_iat函数来进行iat函数的勾取BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){ switch( fdwReason ) { case D...
2019-09-10 18:24:00
869
转载 [记事本API Hook] 调试器 勾取 WriteFile()Api
调试器的工作原理: 调试进程经过注册后,每当被调试者发生调试事件(DebugEvent)时,OS就会暂停其运行,并向调试器报告相应事件,然后调试器对相应事件进行处理,使被调试者继续运行。 具体调试流程如下:对想Hook的进程进行附加操作,使进程成为被调试者。Hook:将API起始的第一个字节修改成0xcc 也就是int3 断点。调用相应API 时,控...
2019-09-10 16:18:00
393
转载 [DLL注入的方法]进程创建期修改PE输入表法
进程创建期修改PE输入表法的原理和静态修改PE输入表完全相同,可以在R3/R0的各个阶段进行干预(必须在主线程运行之前)。1.以读写方式打开目标文件:2 //以读写方式打开目标文件3 HANDLE hFile = CreateFile(szImageFilePath,4 GENERIC_READ|GENERIC_WRITE,...
2019-09-03 15:50:00
408
转载 [DLL注入的方法]静态修改PE输入表法
1.三种DLL加载时机:进程创建加载输入表中的DLL(静态输入)通过调用LoadLibrary主动加载(动态加载)系统预设加载 通过干预输入表处理过程加载目标dll1.静态修改PE输入表法(测试程序 Notepad.exe)准备工作:自行编写一个MsgDLL,到处一个函数Msg();#include "stdafx.h"BOOL...
2019-09-02 18:22:00
829
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人