首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
紧急求救!关于hook加过壳的程序
发表于: 2004-10-9 16:25 4236

紧急求救!关于hook加过壳的程序

runner111 活跃值
2004-10-9 16:25
4236
我想hook 一个程序的api 但是他加过壳了。请问有什么办法可以钩住他使用的api?

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 1
支持
分享
最新回复 (7)
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
2
先脱壳再hook:D
2004-10-9 16:31
0
runner111
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这个东西是个作弊器,用它的人不可能去脱壳的,有没有别的办法?有的朋友告诉我可以修改kernal32得导出节,然后替换自己成的api。可是我不知道如何做,我只会改导入节的。
2004-10-9 16:42
0
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
4
以前的论坛精华里可能有
是一篇讲屏幕取词的,可能跟你的问题有关。
2004-10-9 22:19
0
runner111
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
顶起来!
2004-10-10 08:52
0
DonQuixote
雪    币: 175
活跃值: (211)
能力值: ( LV12,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
6
要看具体是什么壳
有的壳不会对IAT检查,你只要直接修改IAT里的地址就可以(但是不能通过函数名来HOOK)
比如ASPack就是这样,假设脱壳后wsock32.dll.send的IAT是在0xXXXXXXX,那么修改没有脱壳的进程的0xXXXXXX就可以了

不过有的壳会检查IAT是否正确,直接修改就不行了
2004-10-10 11:16
0
DonQuixote
雪    币: 175
活跃值: (211)
能力值: ( LV12,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
7
www.gameres.com的外挂论坛上有很多关于这些问题的文章
不过好象没有整理过,要慢慢翻
2004-10-10 11:28
0
chenlincs
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
有人知道不
回个话.先谢谢了。
2006-9-28 17:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//