-
-
[旧帖] [求助]小弟遇困难,还请各位给想想办法! 0.00雪花
-
发表于: 2011-8-18 05:39
-
原本是想hook一个外部程序的API函数,但是发现他的程序本身就HOOK了这个函数,我用的是JMP跳转法HOOK API,之前用IAT HOOK没有效果!举个例子吧!
我想hook某个程序的messagebox函数
但是这个程序可能自己先hook了messagebox函数,我用XueTr查看后发现他的确有2个钩子
如果我再hook时就会被发现,他会提示“发现messagebox函数被拦截”
我自己觉得是这个程序保存了messagebox 的原地址,然后每次调用API前比较了原来地址和现在获取地址是否相同,如果地址发生变化了,说明被HOOK了
也许可能是GetProcAddress函数被HOOK了
希望各位帅哥美女大哥大姐大妈大妹子都给出出主意,或者能不能比他先下手?在他hook掉messagebox之前,我先hook呢?
我追加一个问题,如果我在某程序启动之前先hook了messagebox函数,在等那个程序启动后会不会有效?,我意思是每个不同的程序,获得同一个API的原地址是否相同呢?
我想hook某个程序的messagebox函数
但是这个程序可能自己先hook了messagebox函数,我用XueTr查看后发现他的确有2个钩子
如果我再hook时就会被发现,他会提示“发现messagebox函数被拦截”
我自己觉得是这个程序保存了messagebox 的原地址,然后每次调用API前比较了原来地址和现在获取地址是否相同,如果地址发生变化了,说明被HOOK了
也许可能是GetProcAddress函数被HOOK了
希望各位帅哥美女大哥大姐大妈大妹子都给出出主意,或者能不能比他先下手?在他hook掉messagebox之前,我先hook呢?
我追加一个问题,如果我在某程序启动之前先hook了messagebox函数,在等那个程序启动后会不会有效?,我意思是每个不同的程序,获得同一个API的原地址是否相同呢?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
你HOOK他的源头去,看看MESSAGEBOX在内核里是那个函数 HOOK掉
|
|
|
|
|
|
|
|
|
|
|
|
刚才突然来了灵感,如果我是那个程序员,我要HOOK前,必须先要有个HOOK的目标,也就是说必须要使用OpenProcess函数获得目标句柄,结果发现的确能HOOK到!继续努力,有进展了给大家报个信!
|
|
|
|
|
|
|
