2013年8月14日 星期三

HOOK API (純VB)



這是網路上抓來的一個範例,放在我這已經很久了
想當時看一下標題挺令人震撼的 純VB達成HOOK API
但是現在怎麼都沒有feel了阿...

看了一下後發現思路是這樣的~~

  1. 當然要快照所有進程和進程模塊 (CreateToolhelp32Snapshot)
  2. 獲取PE檔頭 IMAGE_FILE_HEADER(相關結構映像頭)、IMAGE_OPTIONAL_HEADER( PE文件邏輯分布信息) IMAGE_DATA_DIRECTORY - 相關可以彙編看一下PE檔頭,你可以在裡面發現幾個結構的特性 50 45 00 00 (PE..) 如果你是還不懂PE的朋友點  點我進來
  3. 對函數地址做修改彙編指令,地址弄到自定義的地方然後處理。
大致上是這樣... 做處理這部分可以達到很好的HOOK效果,你可以將位指可jmp掉後就完美HOOK了...例如HOOK工作管理員的Terminateprocess
這樣就達成保護進程不被關閉。

檔案中我放個簡單的messagebox讓大家測試



點我下載

沒有留言:

張貼留言