1
我必須在很多地方在非常大的應用程序中攔截執行。在DLL注入後攔截BIG應用程序執行
我可以用什麼程序來做到這一點?有什麼技術存在這個問題?
手動逆向工程並添加掛鉤也許是這個問題不是最優的解決方案,因爲應用程序是非常大的和應用程序的某些部分可以在一段時間內更新,我覺得有一些工具或良好做法對於這個問題我可以做得更快,有誰知道該怎麼辦?
有人幫我嗎?
A
回答
4
作爲工具的一部分已被覆蓋,這裏是技術的東西。
取決於什麼是你需要掛鉤,以及是否有保護invloved,有幾個方法:
相對呼叫/ JMP在虛擬的二進制補丁:這是最簡單的,但如果您無法自動查找所有對某個功能的引用,還需要進行大量工作,但由於您的標準,這可能不適用於此原因。 IAT/EAT掛鉤:用於導入(IAT)和導出(EAT),如果您的目標是已知的導入/導出的API函數集合,那麼該方法非常有用。一個很好的例子可以發現here或here
熱修補:Windows XP SP2中引入了一種叫做「熱補丁」(用於實時系統功能更新),所有它的(的WinAPI的)功能開始'mov edi,edi',允許在每個熱補丁函數(one can do it too)上創建的空閒空間中修補相對跳轉。這通常用於程序,校驗有IAT的或有保護的其他有趣的形式,更多信息可以發現here和here
VFT/COM重定向:基本上覆蓋條目中一個對象虛擬功能表,用於OOP/COM基於應用是有用的。看到this
有很多第三方庫的,最有名的大概是MS Detours,一方面也可以看APIHijack或mini-hook engine。
Ofcourse沒有什麼可以替代你需要與像ollydbg調試器做初步戳,但我們知道的方法你會使用可以大大短他們量時間花費的時間閒逛
+0
爲什麼這是低調? downvoting和不離開的原因爲什麼是相當粗魯的... ... - – Necrolis 2010-09-29 04:43:48
1
有關您需要做什麼的一些細節(例如,您如何確定在哪裏斷開)會很好。根據你的情況,像Pin可能工作。
0
1
我建議使用Deviare API Hook。這是最簡單的方法,你可以做你所需要的。它有一些COM對象,可以用來掛鉤來自不同進程的應用程序。在你的過程中,你可以得到完整的參數信息,你可以用任何編程語言來使用它(我使用的是C#,它像一個魅力)。 如果您需要攔截註冊表API,我建議使用Deviare來調試您需要攔截的內容,但是您必須創建自己的鉤子,否則會發現性能問題。
相關問題
- 1. 攔截注入
- 2. 攔截進程執行
- 3. 防火牆上的ASP.Net應用程序攔截DLL
- 4. C++ DLL注入後不執行函數
- 5. Guice&EJB注入(攔截器?)
- 6. 在NT驅動程序中攔截進程執行
- 7. 流程執行之前的DLL注入
- 8. Autofac攔截異步執行順序
- 9. 攔截/從.NET應用程序
- 10. 應用程序不攔截url
- 11. 在MVC應用程序框架中使用攔截器還是不攔截器?
- 12. 當注入DLL如何用戶程序執行它
- 13. 用Guice/GuicePersist注入休眠攔截器
- 14. Guice:在ServletModule中注入攔截器
- 15. AOP攔截器攔截所有的應用程序在同一個JVM
- 16. 在攔截器中獲取執行方法註釋
- 17. 在應用程序運行時停止攔截鍵盤輸入 - CGEventTap
- 18. 在頁面執行後運行的Struts 2攔截器?
- 19. 攔截並執行第三方應用程序的鼠標事件?
- 20. 使用結構映射執行攔截
- 21. 使用Fabric3執行服務攔截
- 22. Spring MVC攔截器不會執行資源處理程序URL
- 23. AngularJS:錯誤注入http攔截器
- 24. 注入定製服務到httpProvider攔截
- 25. 向$ http攔截器注入$ http服務?
- 26. 註銷按鈕攔截輸入密鑰
- 27. Guice中的注入方法攔截器
- 28. Spring攔截器依賴注入
- 29. 停止調用$ http攔截器之後執行角度$超時
- 30. Java程序攔截端口?
你可以訪問碼?還有,你如何確定攔截什麼 - 一些特殊的API或模式? – 2010-09-18 17:42:29
@Fasial Ferox:我沒有權限,「你怎麼確定攔截什麼?」 - 我使用IDA解散應用程序,但是這個應用程序非常龐大,很難扭轉,在我之前我有很大一部分工作,我尋找更快的解決方案,也許在這個問題上有一些最佳實踐,一些簡單的提示可以加速我的工作大約月/秒。我掛鉤了內部功能。 – Svisstack 2010-09-18 22:24:30