一个R3下的APIHOOK 扫描工具(支持86-64)

一夜酒狂

就简单的介绍一下工具的逻辑。
1.InlineHook 扫描逻辑 ： dump 进程下的所有dll包括自身。然后 通过路径  把 文件 也dump下来。
接下来 就是 无聊而又痛苦的工作！！！
1.1 拉伸文件  到内存   IMAGE_SECTION_HEADER->VirtualAddress（为了避免 混论：这一步的内存 叫做 PeBuffer）
1.2 修复 PeBuffer 的 IAT表  流程：通过 PEbuffer -> ImageThunkData->u1(名字OR序号)     最终定位修改  PEbuffer ->FirstThunk->u1.Function
1.3 修复PeBuffer 的重定位表 直接使用API     LdrProcessRelocationBlock（新基址(也就是PeBuffer)，SizeOfBlock，NextOffset，Diff）；
                    例如 ：   Diff = GetModuleHandle(L"ntdll.dll") -  PIMAGE_NT_HEADERS->OptionalHeader.ImageBase

2.IAT Hook扫描逻辑  (这个最简单)  dump->IAT   和 PeBuffer ->IAT（注意 这个你已经修复了  如 1.2描述）对比，直接得出结果


如果 出现了 程序崩溃的情况，bug，请联系我。
备注：扫 微软dll,基本无敌 。扫其他dll，萎了。
   


云盘：
链接：https://pan.baidu.com/s/1dejQNwq42FS6Cnn94no4Eg
提取码：6c47

ninianyin222kkk

楼主你好呀，我们最近在举办一场安全应用开发大赛，我是大赛负责人之一，我之前都有看你发的帖子，感觉是大佬~~，所以想邀请你参赛，请问可以聊一下吗~

一夜酒狂

解压密码：52pojie

LHCAILGT

感谢分享实用软件。

ptmaliang

感谢分享

明镜天水

这个非常不错啊

dfn19931208

感谢分享好工具 辛苦了 谢谢你

15235109295

感谢分享实用软件。

xiahhhr

实用工具，感谢分享啊！

tylerd006

这个工具不错