反内联API挂钩
本帖最后由 20120427 于 2017-12-30 14:50 编辑模拟SE壳的反内联API挂钩的一个功能,这边只对部分系统dll进行了处理。
原:
经过处理后的:
具体可以看下例子!
有必要说下,VMP壳的输入表保护没有反内联API挂钩的作用,它只是隐藏了调用的api
win10另外还有一个小发现:apphelp.dll (应用程序兼容性客户端库) 这个主要是兼容系统用的,XP没有这个,AcLayers.dll这个也是兼容系统的,不同的是AcLayers.dll开启了兼容模式才会调用,它们两个都是通过HOOK自身的IAT实现兼容。。
通过OD载入和附加,被apphelp.dll HOOK的有些区别
被附加的这几个函数没有被HOOK,通过OD载入的,完全有区别。
分享的这个例子,加壳后就没有用了,这个例子是通过输入表修改的IAT。而加壳后的输入表不是本身的输入表了。。
更新了一下,支持加壳,需要注意的是输入表区段是 .rdata,另外vmp 加壳不要隐藏输入表,不然就没效果。自行测试。
原理是:获取.rdata区段,对IAT地址进行处理,被apphelp.dll HOOK的就管不了了
可以可以只不过为啥是易语言的。。 你干脆写个分析文章多好浪费我两个CB。。 Poner 发表于 2017-12-27 18:15
可以可以只不过为啥是易语言的。。 你干脆写个分析文章多好浪费我两个CB。。
写出了内存运行,这个也不是难事了,没多少技术含量 等一个模块开源
感谢分享,下载学习一下 学习啊 强大的功能
页:
[1]