吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6992|回复: 9
收起左侧

[Scripts] HOOK几个文件API的脚本

[复制链接]
NONAME剑人 发表于 2012-6-15 01:24
本来想用SoftSnoop监视CreateFile/OpenFile/ReadFile/SetFilePointer,后来发现太难用了。
于是自己写了个脚本,把程序运行中上面几个API的执行信息记录下来,供自己分析用。
不知有没有人需要,发个玩玩。

=============================================
var x1,x2,x3,x4,x5
gpa "CreateFileA", "kernel32.dll"
mov x1,$RESULT
bp $RESULT
gpa "OpenFile", "kernel32.dll"
    mov x2,$RESULT
bp $RESULT
gpa "SetFilePointer","kernel32.dll"
    mov x3,$RESULT
bp $RESULT
gpa "ReadFile","kernel32.dll"
    mov x4,$RESULT
bp $RESULT
mov x,0
run
WWWWW:
    mov x5,eax
    mov eax,x1
      cmp eip,eax
      jne next_1
       log "hFile:"
       log [esp+4]
       log "OffsetLo"
       log [esp+8]
       log "pOffsetHi"
       log [esp+0c]
       log "Origin"
       log [esp+10]
next_1:
      mov eax,x2
       cmp eip,eax
       jne next_2
       log "FileName:"
       log [esp+4]
       log "Access"
       log [esp+8]
       log "ShareMode"
       log [esp+0c]
       log "pSecurity"
       log [esp+10]
       log "Mode"
       log [esp+14]
       log "hTemplateFile"
       log [esp+1c]
next_2:
      mov eax,x3
       cmp eip,eax
       jne next_3
       log "FileName:"
       log [esp+4]
       log "pOfstruct"
       log [esp+8]
       log "Mode"
       log [esp+0c]
next_3:
      mov eax,x4
       cmp eip,eax
       jne next_4
       log "hFile:"
       log [esp+4]
       log "Buffer"
       log [esp+8]
       log "BytesToRead"
       log [esp+0c]
        log "pBytesRead"
       log [esp+10]
       log "pOverlapped"
       log [esp+14]
next_4:
    mov eax,x5
    run  
cmp x,0
je WWWWW
================================

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Ruin 发表于 2012-6-15 01:25
膜拜大牛... {:1_931:}

fq3803 发表于 2012-7-6 12:01
qqlinhai 发表于 2012-7-6 15:47
NikolayD 发表于 2013-4-11 01:53
Good script. Thanks alot.
sunflover 发表于 2013-6-6 23:36
很好的,收下测试
myliliyi 发表于 2013-6-9 15:52
感谢楼主,收下了
头像被屏蔽
vk929495v 发表于 2014-7-20 22:02
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
苏烟式 发表于 2014-7-21 17:30
提示: 作者被禁止或删除 内容自动屏蔽
booyd 发表于 2014-7-21 17:37
灰常需要,感谢楼主。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-25 13:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表