首页
社区
课程
招聘
[样章1]《加密与解密(第三版)》--18.2.4 DLL劫持技术(内存补丁技术)
发表于: 2008-3-8 17:07 230999

[样章1]《加密与解密(第三版)》--18.2.4 DLL劫持技术(内存补丁技术)

2008-3-8 17:07
230999

我是从CoDe_Inject帮助下才了解这个DLL劫持技术(或称HOOK),利用这个制作内存补丁非常的好用。
Yonsm在几年前,写了个工具AheadLib,可以很方便地生成各类DLL头文件,见本帖2楼。
这种补丁方法,适合制作被ASProtect,Armadillo,Themida等各类强壳保护软件的补丁。
00401496 EB 29 jmp short 004014C1
 
unsigned char p401496[2] = {0xEB, 0x29};
WriteProcessMemory(hProcess,(LPVOID)0x401496, p401496, 2, NULL);
#pragma comment(linker, "/EXPORT:SomeFunc=DllWork.someOtherFunc")
#pragma comment(linker, "/EXPORT:WSAStartup=_MemCode_WSAStartup,@115")

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
最新回复 (117)
雪    币: 50161
活跃值: (20610)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
Yonsm写的一款工具AheadLib 2.2.150 ,用来生成DLL相关头文件。
类似工具dummy也写过一款:http://bbs.pediy.com/showthread.php?t=50460


http://www.yonsm.net/read.php?170
2005/01/14 09:26

一、简介

  AheadLib 是用来生成一个特洛伊DLL的工具,用于分析DLL中的函数参数调用(比如记录Socket send了什么等等)、更改函数功能(随心所欲了:)、更改界面功能(比如在Hook里面生成一个按钮,截获事件等等)。

二、使用

  1.用 AheadLib 打开要模拟的 DLL,生成一个 CPP 文件。
  2.用 Visual Studio 6.0/.NET 建立一个 DLL 工程,把这个 CPP 文件加入到项目中。
  3.使用 Release 方式编译,生成的 DLL 将和原来的 DLL 具有一模一样的导出函数,并且能顺利把这些函数转发到原来的函数中。
  4.AheadLib 还可以生成 Hook 代码,用于截取当前进程的所有消息,这样就可以随心所欲地处理各种消息了 (修改第三方程序界面功能的好助手)。

三、备注

  1.如果导出函数过多,在 Visual Studio 6.0 中,如果出现编译错误,请在项目属性关闭与编译头功能。
  2.如果是 C++ 、C __stdcall、C __fastcall 的方式导出的话,生成的函数声明将会还原成原代码级别(可能需要修改才能编译,比如导出C++类的情况)。此时使用 __declspec(dllexport) 导出 ——不能指定导出序号。
  3.如果是 NONAME 或者 C _CDECL 方式导出(比如 DEF 导出,大多数Windows DLL都是这种情况,比如WS2_32等等),则使用#pragma comment(linker, "/EXPORT:...)导出,且指定导出序号。
  4.如果系统中没有 DbgHelp.dll,将无法识别 C++ 模式的导出。

主页:http://www.yonsm.net
邮件:Yonsm@163.com
源码:如果需要,请访问作者主页


上传的附件:
2008-3-8 18:19
0
雪    币: 716
活跃值: (162)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
3
很期待第三版,不知能否买到kanxue签名的书?
2008-3-8 18:29
0
雪    币: 2319
活跃值: (565)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
4
关于 VC++ 2005 或以后 compile 产生的 exe 与 dll 的新方式

http://www.itwriting.com/blog/?postid=261
2008-3-8 18:32
0
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
5
期待新书ing
老大书里面有没有写关于带壳调试方面的内容?
2008-3-8 19:17
0
雪    币: 50161
活跃值: (20610)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
6
这个感觉没太必要,只要调试器能加载目标软件,相关代码没被虚拟机等处理过,就可调试分析。
2008-3-8 19:18
0
雪    币: 461
活跃值: (93)
能力值: ( LV9,RANK:1170 )
在线值:
发帖
回帖
粉丝
7
期待新书……
2008-3-8 19:45
0
雪    币: 1969
活跃值: (46)
能力值: (RANK:550 )
在线值:
发帖
回帖
粉丝
8
学习了 期待新书早日面世
2008-3-8 19:55
0
雪    币: 50161
活跃值: (20610)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
9
关于hijack趣谈

http://www.engsky.com/html/2006-07/1606.html

词语趣谈:Hijack -说Hi打招呼,然后再抢劫?

Hijack 这个字是“抢劫”的意思,据说是因为过去歹徒会假装成搭便车的路人,拦到车后都先假装友好,跟司机说 Hi 打招呼,然后再实施抢劫。

传说美国在颁行禁酒令(1920-1933)初期,歹徒常常打劫运酒车. 他们抢司机时的命令是:"Stick 'em up high, Jack!" 或 " Up high, Jack!" (兄弟, 把手高举起来!) 因为这句话, 人们于是称他们是 highjacker, 再简写为 hijacker, 然后才有动词 hijack 的产生。


另外还有一种说法,歹徒要打劫运酒车时,先会假装成搭便车的路人(hitch-hiker) 要求搭乘便车(thumb a lift),拦到车后对司机的第一句话是:" Hi, Jack!"。于是,hijack 便成了“抢劫”的代名词。
2008-3-8 19:56
0
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
10
期待全面学习新书,看雪3.8献好礼
2008-3-8 20:00
0
雪    币: 66
活跃值: (15)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
11
学习+支持+期待
2008-3-8 20:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
3,8赶上个好机会,收下学习了.
2008-3-8 20:17
0
雪    币: 1634
活跃值: (1382)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
13
可惜,以后不灵了
2008-3-8 20:25
0
雪    币: 134
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
14
好书,有钱就一定买了。呵呵
2008-3-8 21:52
0
雪    币: 159
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
15
2008-3-8 22:00
0
雪    币: 177
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
期待
希望能拿到书吧
2008-3-8 22:22
0
雪    币: 609
活跃值: (237)
能力值: ( LV12,RANK:441 )
在线值:
发帖
回帖
粉丝
17
很好很强大……可惜我才看到…… 作业好多阿……
2008-3-8 22:25
0
雪    币: 266
活跃值: (52)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
18
真希望书早一点上市......
2008-3-8 22:45
0
雪    币: 732
活跃值: (192)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
c看得总是一知半解,要是书中有Delphi代码就更完美了......

分享一个EPE1201的工具,算是支持。
上传的附件:
2008-3-8 22:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
不错不错,是我想了解的东西~~~~
2008-3-9 00:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
LCN
21
不懂,学习了!!!
2008-3-9 10:38
0
雪    币: 65
活跃值: (811)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
22
诱惑,这绝对是诱惑!
让我吃不好饭睡不着觉,书出版的晚让俺等着已经够难受了~~
还发一个样板让俺看了前不着头后不着店的,让俺过瘾一半~~
kanxue老大得赔偿俺精神损失费~
2008-3-9 10:51
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
期待第三版的上市
2008-3-9 10:51
0
雪    币: 707
活跃值: (1301)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
24
我买的书,kanxue你一定要帮偶签名!! 这样我就可天天抱着它了

到时你给个网行,我打钱,由你签名发书,这是偶想要的!
2008-3-9 10:56
0
雪    币: 14
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
有没有各位大牛签名的版本出售啊
2008-3-9 13:59
0
游客
登录 | 注册 方可回帖
返回
//