[求助]载入一个DLL，有没有办法使GetProcAddress无法获取其中某个名字导出函数的地址？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 2 楼在自己的这个dll里写个空函数，然后把iat表中关于GetProcAddress的那个项改成空函数的地址，也就是常说的iathook 2010-6-12 21:21 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 3 楼修改为空函数的地址后GetProcAddress得到的就是空函数的地址了，并不会是NULL，能不能直接删除IAT表中那个项呢？ 2010-6-12 21:46 0
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 4 楼 DWORD 004011E6 \|. FF15 4CA14200 call dword ptr [<&KERNEL32.GetVersion>] ; kernel32.GetVersion ds:[0042A14C]=758344C7 (kernel32.GetVersion) 修改蓝色部分为下面这个函数的地址，楼主看看到底是不是返回NULL MyGetProcAddress (DWORD para) { return NULL; } 2010-6-12 22:12 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 5 楼载入后将输出项清空 2010-6-12 22:26 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 6 楼网上找了段代码：http://p0prxx.ycool.com/post.1239353.html 他修改了MessageBoxA函数指向了自定义的函数，直接调用MessageBoxA是执行了自定义的函数，但是，再次用GetProcAddress函数获取的还是原始MessageBoxA函数的地址，请高手帮忙改改！ 2010-6-13 00:15 0
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 7 楼他修改了MessageBoxA函数指向了自定义的函数，直接调用MessageBoxA是执行了自定义的函数这个是他用了IAThook 再次用GetProcAddress函数获取的还是原始MessageBoxA函数的地址，这个是因为他并没有将User32.dll的导出表中MessageBox进行修改。感觉楼主对IAT，EAT的理解还是比较模糊，只要清楚了，这些东东easy 2010-6-13 09:19 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 8 楼隐式链接MessageBoxA地址与GetProcAddress(hModule,"MessageBoxA")得到的地址应该得不一样的吧？隐藏的地址开头的内容应该是Jmp长跳转指令吧？ 2010-6-13 13:14 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 9 楼清零导出表的相关数据就行了，或者把导出表捣乱一下也行。如果还想让某些程序能获得你的输出函数的话，那可以自己内联补丁掉GetProcAddress。判断调用来源之类的，然后自己把函数地址返回就行了。 2010-6-13 16:24 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 10 楼如何清零导出表的相关数据？我是菜鸟，请不吝赐教！ 2010-6-13 16:48 0
专业路过雪币： 538 活跃值： (259) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 116 粉丝 1 关注私信	专业路过 1 11 楼用万能的HOOK 钩住GetProcAddress 2010-6-13 19:10 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 12 楼特征码搜索不是很方便吗？ 2010-6-13 21:53 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 13 楼多谢楼上各位的热心指教，我已经用 EAT HOOK 的方法解决了，就是在EAT表中找到相应函数名把它替换为空串。 2010-6-14 01:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 2 楼在自己的这个dll里写个空函数，然后把iat表中关于GetProcAddress的那个项改成空函数的地址，也就是常说的iathook 2010-6-12 21:21 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 3 楼修改为空函数的地址后GetProcAddress得到的就是空函数的地址了，并不会是NULL，能不能直接删除IAT表中那个项呢？ 2010-6-12 21:46 0
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 4 楼 DWORD 004011E6 \|. FF15 4CA14200 call dword ptr [<&KERNEL32.GetVersion>] ; kernel32.GetVersion ds:[0042A14C]=758344C7 (kernel32.GetVersion) 修改蓝色部分为下面这个函数的地址，楼主看看到底是不是返回NULL MyGetProcAddress (DWORD para) { return NULL; } 2010-6-12 22:12 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 5 楼载入后将输出项清空 2010-6-12 22:26 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 6 楼网上找了段代码：http://p0prxx.ycool.com/post.1239353.html 他修改了MessageBoxA函数指向了自定义的函数，直接调用MessageBoxA是执行了自定义的函数，但是，再次用GetProcAddress函数获取的还是原始MessageBoxA函数的地址，请高手帮忙改改！ 2010-6-13 00:15 0
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 7 楼他修改了MessageBoxA函数指向了自定义的函数，直接调用MessageBoxA是执行了自定义的函数这个是他用了IAThook 再次用GetProcAddress函数获取的还是原始MessageBoxA函数的地址，这个是因为他并没有将User32.dll的导出表中MessageBox进行修改。感觉楼主对IAT，EAT的理解还是比较模糊，只要清楚了，这些东东easy 2010-6-13 09:19 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 8 楼隐式链接MessageBoxA地址与GetProcAddress(hModule,"MessageBoxA")得到的地址应该得不一样的吧？隐藏的地址开头的内容应该是Jmp长跳转指令吧？ 2010-6-13 13:14 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 9 楼清零导出表的相关数据就行了，或者把导出表捣乱一下也行。如果还想让某些程序能获得你的输出函数的话，那可以自己内联补丁掉GetProcAddress。判断调用来源之类的，然后自己把函数地址返回就行了。 2010-6-13 16:24 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 10 楼如何清零导出表的相关数据？我是菜鸟，请不吝赐教！ 2010-6-13 16:48 0
专业路过雪币： 538 活跃值： (259) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 116 粉丝 1 关注私信	专业路过 1 11 楼用万能的HOOK 钩住GetProcAddress 2010-6-13 19:10 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 12 楼特征码搜索不是很方便吗？ 2010-6-13 21:53 0
zyyuser 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 43 粉丝 0 关注私信	zyyuser 13 楼多谢楼上各位的热心指教，我已经用 EAT HOOK 的方法解决了，就是在EAT表中找到相应函数名把它替换为空串。 2010-6-14 01:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复