-
-
[下载]PcHunter导出进程钩子批量反汇编
-
发表于: 2018-3-27 21:29
-
用PCHunter查看了一下某游戏,ntdll.dll居然下了很多钩子
当前代码和原始代码都是机器码,不方便查看
于是就利用OD反汇编插件,写了个反汇编当前和原始机器码的工具
[*]len(1) ntdll.dll->DbgBreakPoint 0x000000007745000C->_ inline C3 CC
[*]len(5) ntdll.dll->DbgUiRemoteBreakin 0x00000000774DF8EA->_ inline E9 D2 DC FA FF 6A 08 68 60 BA
[*]len(1) ntdll.dll->DbgUserBreakPoint 0x000000007745000C->_ inline C3 CC
[*]len(5) ntdll.dll->NtAssignProcessToJobObject 0x000000007746059C->_ inline E9 FB FF D3 88 B8 85 00 00 00
[*]len(5) ntdll.dll->NtCreateFile 0x00000000774600B4->_ inline E9 43 11 D4 88 B8 52 00 00 00
[*]len(5) ntdll.dll->NtCreateProcess 0x0000000077460814->_ inline E9 03 F8 D3 88 B8 9F 00 00 00
[*]len(5) ntdll.dll->NtCreateProcessEx 0x000000007745FFEC->_ inline E9 DB 00 D4 88 B8 4A 00 00 00
工具自动生成一个txt文件,方便分析
DbgBreakPoint:0x000000007745000C:C3:CC 当前:RETN 原始:INT3
DbgUiRemoteBreakin:0x00000000774DF8EA:E9 D2 DC FA FF:6A 08 68 60 BA 当前:JMP FFFADCD7 原始:PUSH 8PUSH ABABBA60
DbgUserBreakPoint:0x000000007745000C:C3:CC 当前:RETN 原始:INT3
NtAssignProcessToJobObject:0x000000007746059C:E9 FB FF D3 88:B8 85 00 00 00 当前:JMP 88D40000 原始:MOV EAX,85
NtCreateFile:0x00000000774600B4:E9 43 11 D4 88:B8 52 00 00 00 当前:JMP 88D41148 原始:MOV EAX,52
NtCreateProcess:0x0000000077460814:E9 03 F8 D3 88:B8 9F 00 00 00 当前:JMP 88D3F808 原始:MOV EAX,9F
NtCreateProcessEx:0x000000007745FFEC:E9 DB 00 D4 88:B8 4A 00 00 00 当前:JMP 88D400E0 原始:MOV EAX,4A
一个简单的工具,分享给大家,可能用处不大
用法:
//==========
1 打开PCHunter导出的txt,Ctrl+A全选,Ctrl+C复制
2 ctrl+V粘贴进编辑框,点击"反汇编"
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-3-29 14:31
被taizhong编辑
,原因:
|
|
|---|---|
