扩展接口?加壳?

最新推荐文章于 2024-07-25 21:43:46 发布
最新推荐文章于 2024-07-25 21:43:46 发布
阅读量210 收藏
点赞数 2
文章标签: api hooks 业务规则设计 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itsaoght/article/details/105419303
版权

伊始

  各位小伙伴们好呀!不知道小伙伴们在遇到过,原需求我不想动,但我扩展新功能,但你不能影响以前的功能,构架不能动,总之我只要扩展,能不动的就别动。那这可怎么办呢,哎!
  为了解决这个需求,我要思考下。umm,分为两种。

序号需求
1在业务中间加统计、校验
2在弃用的接口做新的东西

这两种都可以看作为,函数执行顺序要变化。
  这里我们就可以用到API HOOK技术了,此技术在于修改IAT(导入地址表),然后先执行我们扩展的的业务,至于是否要继续在走接下来的业务就看实际需求了。

主体

  不墨迹了,直接干货!
  需要用到的API如下:

序号API&其他
1GetCurrentProcess()
2LoadLibrary()
3VirtualProtectEx
4WriteProcessMemory
5_asm(嵌入汇编)

  这次,我们打算以最简单的方式来扩展接口,我先就以”User32.dll“,因为大多数程序都会加载它。如果你想hook自己的dll,那么就请换成自己的。

第一步:获取当前“空间”

获取当前进程
HANDLE WINAPI GetCurrentProcess(
    VOID
    );

第二步:获取User32.dll加载的地址

HMODULE WINAPI LoadLibraryW(
    _In_ LPCWSTR lpLibFileName
    );

第三步:获取MessageBox的地址

FARPROC WINAPI GetProcAddress(
    _In_ HMODULE hModule,
    _In_ LPCSTR lpProcName
    );

第四步:就要修改入口地址了`,如果还需要保留原来的业务,请先备份一下地址

 _asm
 {
  lea edi, oldAddr            // 保存旧地址
   mov esi, oldMSGBox   // 获取到旧地址
   cld                        
   movsd                   
   movsb                    
 }
 Code[0] = 0xe9; //这个汇编的jmp跳转指令,相对跳转
 _asm
 {
  lea eax, MyMSGBox
   mov ebx, oldMSGBox
   sub eax, ebx
   sub eax, LEN
   mov dword ptr[Code + 1], eax
 }

第五步:将修改好的地址,放到IAT(导入地址表)中。

开辟空间
BOOL WINAPI VirtualProtectEx(
    _In_ HANDLE hProcess,
    _In_ LPVOID lpAddress,
    _In_ SIZE_T dwSize,
    _In_ DWORD flNewProtect,
    _Out_ PDWORD lpflOldProtect
    );
写入
BOOL WINAPI WriteProcessMemory(
    _In_ HANDLE hProcess,
    _In_ LPVOID lpBaseAddress,
    _In_reads_bytes_(nSize) LPCVOID lpBuffer,
    _In_ SIZE_T nSize,
    _Out_opt_ SIZE_T * lpNumberOfBytesWritten
    );

至此完毕,调用函数即可执行我们的新业务代码。

注:如果需要取消API Hook,请恢复原入口即可。

`

itsaoght
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于对后DLL的调试分析的笔记
qinghai0011的专栏
06-20 1863
这个是很久之前分析一个DLL时的文章了。写在了QQ空间里面。现在翻出来,慰问下自己。其实不算是高明的东西。之前在分析一个样本时,该样本释放出了一个DLL,由于脱的功力不够强悍,但是便于分析。就自己写了个程序来调用。OnlyDBG虽然可以LoadDll插件来载,但是个人感觉复杂(也许是没有用好的关系),我更喜欢此种方式,代码简陋,不要耻笑:)有如下代码片段#include #include _declspec (dllexport)  void  FuncationName(ParamType Param
实现自定义扩展点_spring扩展API接口介绍
weixin_33259400的博客
01-12 455
对spring进行定制化功能扩展时,可以选择如下一些扩展点:BeanFactoryPostProcessor是beanFactory后置处理器,支持在bean factory标准初始化完成后,对bean factory进行一些额外处理。这时所有的bean的描述信息已经载完毕,但是还没有进行bean初始化。例如PropertyPlaceholderConfigurer,就是在这个扩展点上...
密与解密(一) --
qq_36308972的博客
06-01 7034
问题 1、 什么是?它是干嘛的? 2、 有哪些类型? 3、 是怎么载的? 4、一些可用的类型判断和脱软件的使用 什么是的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: 有一些版权信息需要保护起来,不想让别人随便改动 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ...
代码保护(一) 几款工具
热门推荐
风物长宜放眼量
07-01 3万+
DRMsoft EncryptEXE(有破解版)密模式:非绑定模式 ---- 密后的文件不绑定用户电脑,但用户需要一个开启密码才可以打开绑定模式 ---- 一机一码授权,密后的文件不同用户电脑需要不同的开启密码无密码模式 ---- 密后的文件无需要开启密码即可运行,仅对原始文件做密保护一码通模式 ---- 采用相同秘钥和产品编号密的不同文件,在同台电脑上只需认证一次特点:可以设置密...
upx源码
11-27
3. **接口**:用于调用UPX对文件进行操作的API。 4. **调试与反调试**:实现反调试和反静态分析的代码。 5. **多平台支持**:尽管此版本可能仅支持Win32,但源码可能还展示了如何为其他平台(如Linux或Mac ...
整理了基于Go的16种API免杀测试、8种密测试、反沙盒测试、编译混淆、、资源修改等免杀技术
05-24
它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go...
ExStudPE_AnalysisPack_v22_r6_final_编译器与识别扩展插件_附二次开发SDK.7z
04-20
这两个文件是二次开发的接口文档,为用户提供了扩展ExStudPE功能的能力。通过这些API,开发者可以创建自定义插件,实现更复杂的分析任务,或者将ExStudPE的功能集成到自己的应用程序中。例如,你可以编写插件来检测...
C#反射实例
03-16
综上所述,C#反射提供了一种灵活的方式来探索和操作代码,使得程序更具动态性和可扩展性。对于初学者和进阶开发者来说,掌握反射技巧能更好地利用.NET框架的能力,解决复杂的问题。在实际开发中,合理运用反射技术...
peid0.94脱工具
10-09
4. **pluginsdk**:这可能是PEiD的插件开发工具包,提供了创建自定义插件的接口和文档,用户可以根据自己的需求扩展PEiD的功能。 5. **plugins**:这个目录可能包含了预装的一些插件,这些插件为PEiD提供了额外的...
C语言 之 理解指针(1)
fallzzzzz的博客
07-20 1188
就是先获取该数组的首元素的地址,从前面我们知道,指针的类型的作用是指针+1 所跳过的字节数,int为整形,大小为4个字节,所以p+1就跳过4个字节,p+2就跳过8个字节,计算机的CPU(中央处理器)在处理数据的时候,需要的数据是在内存中读取的,处理后数据也会放回内存中,如果想对这些空间进行高效的管理,就可以。并且我们知道,数组的元素存放是随着下标增长,内存地址变大的。上面的代码创建了一个整型变量n,因为一个整形的大小是4个字节,所以内存中申请了4个字节,⽤于存放整数10,其中每个字节都有地址。
C++ primer plus 第16章string 类和标准模板库, 关联容器
zhyjhacker的博客
07-25 658
C++ primer plus 第16章string 类和标准模板库, 关联容器。
VS2019编译和使用gtest测试(C++)
m0_65635427的博客
07-24 271
下载下来解压到文件夹,再在文件夹里面新建一个build文件夹,如下:再安装cmake,可以先检查一下是否安装了cmake,打开命令窗口,输入cmake -version:然后双击就对了,我这里已经安装好了,无法提供截图,注意一点就是在让选择是否建立系统环境变量(path)的时候,记得勾上第二个建立系统环境变量!下载好之后,记得检验一下是否安装成功,如果在普通用户下显示没有,建议用管理员身份打开命令窗口,再次尝试。之后命令窗口进入创建的build文件夹路径里面执行cmake ../
【C++修炼之路 第五章】string 类(补充):string 扩展空间规律 + reserve 的缩容 + resize 的使用
唯有忍受别人不能忍受的,才能享受别人不能享受的
07-23 1133
【详细剖析】string 扩展空间规律 + reserve 的缩容性质与只改变capacity的性质 + resize 的使用 + shink_to_fit 的缩容函数
<<C++ Primer Plus(第6版)>>12.1 动态内存和类:知识记录
gsp1004的博客
07-25 843
虽然原书中提到用等号来初始化值可能会导致调用赋值运算符(多执行赋值的步骤,效率低),但是我实测并没有此问题。当然,这个结果是符合预期的,毕竟明明是没必要去多执行一次赋值运算符来赋值的。但是不排除别的环境,别的VS版本,甚至在别的优化等级下表现不同。所以建议自行测试。即便如此,还是建议初始化一个对象使用变量后面用括号赋值初始化的值的方式: StringBad ditto(motto);来规避可能的歧义和不确定的执行流程。默认的复制构造函数和默认的赋值运算符都是浅拷贝/浅复制。
C++(week14): C++提高:(一)面向对象设计:设计原则、设计模式
最新发布
Edward2022的博客
07-25 734
类与类之间的五种关系、面向对象的七种设计原则、23种设计模式
【C#/C++】C#调C++的接口,给C++传结构体数组
一个努力写代码的小菜鸟,目前主要从事图像算法,目标检测/分割,模型量化与部署的工作
07-24 283
C#软件创建了一个结构体数组用来存储图像的区域信息,分别是矩形框的左上像素的xy坐标和矩形框右下像素的xy坐标。需要传入给调用的C++函数的参数列表中,我们选择使用C#传入一个结构体数组指针的方式,C++的参数列表中也使用数组指针来接收这个变量。首先要保证C#和C++两边定义的结构体要完全一致。
洛谷 P10732 [NOISG2019 Prelim] Palindromic FizzBuzz
wang__1233的博客
07-23 440
这题是判断 S 和 E 的区间的数是否为回文数,而回文数有一个非常简单的判断方法,那就是把数字用 to_string 转成然后复制下来,接着将复制来的通过 reverse 反转,最后判断两个字符串是否相同即可。
dotPeek怎么破?
07-29
\[1\]对于dotPeek,可以采取以下步骤进行破解: 1. 配置包名:首先需要配置待脱的app包名,生成config文件。可以使用adb shell命令将包名写入配置文件,例如:adb shell "echo ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值