[原创]关于壳中APIHOOK的一点点解析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 2 楼晕,网络一直很卡,所以刚才发重复了都不知道,这里的MessageBox函数只是拿来做一下掩饰，在壳里面是其他的函数，不过感觉思路应该是这样的．不知道我的看法对不对。 2010-9-20 15:28 0
tongyongmc 雪币： 134 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 23 粉丝 0 关注私信	tongyongmc 3 楼 _MyMessageCustom proc hWnd:dword,buff1:dword,buff2:dword,Code:dword mov MyMessageBox,offset MessageBox push eax mov eax,dword ptr [esp+1ch] mov dword ptr [esp+8],eax pop eax add esp,4 jmp MyMessageBox 为了防止在用户在 MessageBox 函数头下断点，而且静态反汇编也无法直接显示它调用了MessageBox，增加一点麻烦。 db 6Ah ,0Ch ,68h,60h,0FFh ,0B9h,77h,0E8h ,0D0h,83h,0FAh ,0FFh ,33h ,0DBh ,53h ,6Ah ,01h ,8Dh ,45h ,0E7h ,50h ,6Ah ,11h ,6Ah ,0FEh ,5Eh ,56h ,0E8h ,0C4h ,6Ch ,0FAh ,0FFh db 3Bh ,0C3h ,7Ch, 1Ch, 38h, 5Dh ,0E7h ,75h ,17h ,89h ,5Dh ,0FCh ,0CCh ,89h ,75h ,0FCh ,0EBh ,0Eh ,33h ,0C0h 这个代码不知道你是用来做什么的，为何有一个 0CCh (int 3)？ 2010-9-20 15:40 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 4 楼回答楼上的，这段代码永远不会执行，只是拿来填充的。我随便从一个地方Copy过来的.只是拿来忽悠人的. 2010-9-20 16:07 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 5 楼我把附件传上来了,你可以下下来看看!那段代码不会执行的. 2010-9-20 16:09 0
tongyongmc 雪币： 134 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 23 粉丝 0 关注私信	tongyongmc 6 楼不错,自动动手改函数返回值 2010-9-20 16:50 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 7 楼这个不是什么apihook。要想找到调用者看下堆栈调用就知道了，从最近的堆栈调用开始单步就能找到。 2010-9-21 01:11 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 8 楼嗯,这个的确不是什么APIHOOK.最多只是改变函数流程的一种手段而已...我又让各位高人见笑了:( ... 2010-9-24 01:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 2 楼晕,网络一直很卡,所以刚才发重复了都不知道,这里的MessageBox函数只是拿来做一下掩饰，在壳里面是其他的函数，不过感觉思路应该是这样的．不知道我的看法对不对。 2010-9-20 15:28 0
tongyongmc 雪币： 134 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 23 粉丝 0 关注私信	tongyongmc 3 楼 _MyMessageCustom proc hWnd:dword,buff1:dword,buff2:dword,Code:dword mov MyMessageBox,offset MessageBox push eax mov eax,dword ptr [esp+1ch] mov dword ptr [esp+8],eax pop eax add esp,4 jmp MyMessageBox 为了防止在用户在 MessageBox 函数头下断点，而且静态反汇编也无法直接显示它调用了MessageBox，增加一点麻烦。 db 6Ah ,0Ch ,68h,60h,0FFh ,0B9h,77h,0E8h ,0D0h,83h,0FAh ,0FFh ,33h ,0DBh ,53h ,6Ah ,01h ,8Dh ,45h ,0E7h ,50h ,6Ah ,11h ,6Ah ,0FEh ,5Eh ,56h ,0E8h ,0C4h ,6Ch ,0FAh ,0FFh db 3Bh ,0C3h ,7Ch, 1Ch, 38h, 5Dh ,0E7h ,75h ,17h ,89h ,5Dh ,0FCh ,0CCh ,89h ,75h ,0FCh ,0EBh ,0Eh ,33h ,0C0h 这个代码不知道你是用来做什么的，为何有一个 0CCh (int 3)？ 2010-9-20 15:40 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 4 楼回答楼上的，这段代码永远不会执行，只是拿来填充的。我随便从一个地方Copy过来的.只是拿来忽悠人的. 2010-9-20 16:07 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 5 楼我把附件传上来了,你可以下下来看看!那段代码不会执行的. 2010-9-20 16:09 0
tongyongmc 雪币： 134 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 23 粉丝 0 关注私信	tongyongmc 6 楼不错,自动动手改函数返回值 2010-9-20 16:50 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 7 楼这个不是什么apihook。要想找到调用者看下堆栈调用就知道了，从最近的堆栈调用开始单步就能找到。 2010-9-21 01:11 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 8 楼嗯,这个的确不是什么APIHOOK.最多只是改变函数流程的一种手段而已...我又让各位高人见笑了:( ... 2010-9-24 01:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复