NONAME剑人 发表于 2012-6-15 01:24

HOOK几个文件API的脚本

本来想用SoftSnoop监视CreateFile/OpenFile/ReadFile/SetFilePointer,后来发现太难用了。
于是自己写了个脚本,把程序运行中上面几个API的执行信息记录下来,供自己分析用。
不知有没有人需要,发个玩玩。

=============================================
var x1,x2,x3,x4,x5
gpa "CreateFileA", "kernel32.dll"
mov x1,$RESULT
bp $RESULT
gpa "OpenFile", "kernel32.dll"
    mov x2,$RESULT
bp $RESULT
gpa "SetFilePointer","kernel32.dll"
    mov x3,$RESULT
bp $RESULT
gpa "ReadFile","kernel32.dll"
    mov x4,$RESULT
bp $RESULT
mov x,0
run
WWWWW:
    mov x5,eax
    mov eax,x1
      cmp eip,eax
      jne next_1
       log "hFile:"
       log
       log "OffsetLo"
       log
       log "pOffsetHi"
       log
       log "Origin"
       log
next_1:
      mov eax,x2
       cmp eip,eax
       jne next_2
       log "FileName:"
       log
       log "Access"
       log
       log "ShareMode"
       log
       log "pSecurity"
       log
       log "Mode"
       log
       log "hTemplateFile"
       log
next_2:
      mov eax,x3
       cmp eip,eax
       jne next_3
       log "FileName:"
       log
       log "pOfstruct"
       log
       log "Mode"
       log
next_3:
      mov eax,x4
       cmp eip,eax
       jne next_4
       log "hFile:"
       log
       log "Buffer"
       log
       log "BytesToRead"
       log
      log "pBytesRead"
       log
       log "pOverlapped"
       log
next_4:
    mov eax,x5
    run
cmp x,0
je WWWWW
================================

Ruin 发表于 2012-6-15 01:25

膜拜大牛... {:1_931:}

fq3803 发表于 2012-7-6 12:01

不错的脚本,下来研究一下

qqlinhai 发表于 2012-7-6 15:47

感谢楼主,收下了

NikolayD 发表于 2013-4-11 01:53

Good script. Thanks alot.

sunflover 发表于 2013-6-6 23:36

很好的,收下测试

myliliyi 发表于 2013-6-9 15:52

感谢楼主,收下了

vk929495v 发表于 2014-7-20 22:02

苏烟式 发表于 2014-7-21 17:30

booyd 发表于 2014-7-21 17:37

灰常需要,感谢楼主。
页: [1]
查看完整版本: HOOK几个文件API的脚本


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn