[求助]WIN7系统上关于API HOOK的问题，郁闷一天了。-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 2 楼请确认你hook的位置会被执行到 2013-12-13 22:29 0
菠萝柚雪币： 136 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 74 粉丝 1 关注私信	菠萝柚 3 楼 SSDT HOOK肯定能勾到 2013-12-13 22:31 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 4 楼我想应该可以执行到啊。因为XP系统上是可以HOOK到的。除非是那个软件会判断现在是什么系统，是WIN7系统就执行另外的代码。我想这种可能性较小，不过明天也可以试试。 2013-12-13 22:40 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 5 楼我对这个不太了解。如果实在没办法了的话，我会去研究一下这个的。 2013-12-13 22:50 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 6 楼 OD在该位置下断试试 2013-12-13 22:53 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 7 楼这个软件无法调试，因为加壳了。有什么软件能够检测到执行了哪些DLL中的哪些函数吗？ 2013-12-13 22:55 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 8 楼 OD调试不了啊。加壳了。我不会脱壳。 2013-12-13 22:57 0
菠萝柚雪币： 136 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 74 粉丝 1 关注私信	菠萝柚 9 楼 R.的钩子很容易绕过的，都过时了=.= 2013-12-13 22:58 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 10 楼 SOD啥的呢既然你能hook，肯定能在同样的位置下断 2013-12-14 00:01 0
暗月之魂雪币： 53 活跃值： (523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 11 楼你hook了哪个函数？有些API要区分 A版和W版 2013-12-14 03:31 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 12 楼我hook的函数没有a版和w版。我hook的是winmm.dll中的waveInOpen函数。 2013-12-14 09:18 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 13 楼 Win7的Dll有的打了IAT补丁，函数开头变成了jmp [xxx.NewFunction] 2013-12-14 09:52 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 14 楼还真有可能不同系统用不一样的api，你是要获取采集的声音么，有可能在xp用waveXX，在其他win os上用Dsound，xaudio2，coreaudio等都有可能的 2013-12-14 10:26 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 15 楼能在xp(32位？)上运行，说明是32位程序？请确认你要hook的dll的路径。32位程序在64位下运行的时候，hook的dll的位置并不是system32下的那些dll，同时注册表的位置也不一样的。搞定了这些，32位程序在64位os下的hook，和32位os下是完全一样的。 2013-12-14 12:01 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 16 楼壳是SE吧，有shadow dll . API都被模拟了 2013-12-14 12:14 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 17 楼我用的那个WIN7也是32位的哦。 2013-12-14 12:17 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 18 楼很多壳会自己做模拟的API的。要验证的话，你要再深inline hook api下一层的子函数，一般壳模拟的话，也只模拟api本身的代码，不可能把api要调用的代码都模拟了。 2013-12-16 09:37 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 19 楼怎么可能调试不到，__asm int 3难道都不执行么？ 2013-12-16 10:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 2 楼请确认你hook的位置会被执行到 2013-12-13 22:29 0
菠萝柚雪币： 136 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 74 粉丝 1 关注私信	菠萝柚 3 楼 SSDT HOOK肯定能勾到 2013-12-13 22:31 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 4 楼我想应该可以执行到啊。因为XP系统上是可以HOOK到的。除非是那个软件会判断现在是什么系统，是WIN7系统就执行另外的代码。我想这种可能性较小，不过明天也可以试试。 2013-12-13 22:40 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 5 楼我对这个不太了解。如果实在没办法了的话，我会去研究一下这个的。 2013-12-13 22:50 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 6 楼 OD在该位置下断试试 2013-12-13 22:53 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 7 楼这个软件无法调试，因为加壳了。有什么软件能够检测到执行了哪些DLL中的哪些函数吗？ 2013-12-13 22:55 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 8 楼 OD调试不了啊。加壳了。我不会脱壳。 2013-12-13 22:57 0
菠萝柚雪币： 136 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 74 粉丝 1 关注私信	菠萝柚 9 楼 R.的钩子很容易绕过的，都过时了=.= 2013-12-13 22:58 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 10 楼 SOD啥的呢既然你能hook，肯定能在同样的位置下断 2013-12-14 00:01 0
暗月之魂雪币： 53 活跃值： (523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 11 楼你hook了哪个函数？有些API要区分 A版和W版 2013-12-14 03:31 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 12 楼我hook的函数没有a版和w版。我hook的是winmm.dll中的waveInOpen函数。 2013-12-14 09:18 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 13 楼 Win7的Dll有的打了IAT补丁，函数开头变成了jmp [xxx.NewFunction] 2013-12-14 09:52 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 14 楼还真有可能不同系统用不一样的api，你是要获取采集的声音么，有可能在xp用waveXX，在其他win os上用Dsound，xaudio2，coreaudio等都有可能的 2013-12-14 10:26 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 15 楼能在xp(32位？)上运行，说明是32位程序？请确认你要hook的dll的路径。32位程序在64位下运行的时候，hook的dll的位置并不是system32下的那些dll，同时注册表的位置也不一样的。搞定了这些，32位程序在64位os下的hook，和32位os下是完全一样的。 2013-12-14 12:01 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 16 楼壳是SE吧，有shadow dll . API都被模拟了 2013-12-14 12:14 0
winampme 雪币： 20 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 63 粉丝 0 关注私信	winampme 17 楼我用的那个WIN7也是32位的哦。 2013-12-14 12:17 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 18 楼很多壳会自己做模拟的API的。要验证的话，你要再深inline hook api下一层的子函数，一般壳模拟的话，也只模拟api本身的代码，不可能把api要调用的代码都模拟了。 2013-12-16 09:37 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 19 楼怎么可能调试不到，__asm int 3难道都不执行么？ 2013-12-16 10:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复