精易论坛

标题: IAT HOOK 纯手工出品 适合新手学习 代码简单 没有坑 [打印本页]
作者: supeng4676    时间: 2020-3-5 23:16
标题: IAT HOOK 纯手工出品 适合新手学习 代码简单 没有坑
本帖最后由 如果 于 2020-3-19 11:23 编辑






这个是用到了superEC和精易模块,其他就是几个简单的API(模块中自带).
搜索了一下论坛,2014年有个帖子,但是测试了一下不行,需要有dll....
适合新手学习!大神勿喷.

注意事项:
1.易语言版本:5.8
2.调试模式不可以,需要编译出来,为了方便下载,编译后打包刚好超过3MB.就没编译.
3.易语言的信息框就是messageboxA,反而模块中的MessageBoxA却hook不到...没有看模块的源码,也不知道是哪个模块里面的.这里请教高手解答一下..
4.界面很丑


讲一下这个hook的过程吧,比较有意思的,而且还有很大的拓展:
1.exe,dll可以统称为模块,dll其实和exe本质上是一样的.这里统称为PE文件.
2.当PE文件加载到内存的时候,导入表内保存的需要导入的函数列表,会被释放到内存,同时IAT表中原来的xx会被系统修改为真实的地址.
比如messagebox的真实地址就会被保存到进程空间的IAT表中!从此就不变了,除非重启.
3.那么如果我们自己做一个假函数(参数数量,参数类型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候,
就会跳转到我们的函数里面,我们的函数里面可以随意做任何事情.

需要对PE结构有一点了解.百度资料很多.
不想消耗精币的.可以加QQ群:   xxxxxxxxxx 群空间有源码   刚建立的..我是个新手,欢迎一起讨论~
俺是做网工的,发现这个东西比网络有意思.希望有志同道合的朋友,一起爬坑++++

(QQ号也是小号,多年的大号发了破J软件被封了(真的会被封哦!怎么申诉都不行了,就发了一个""CDR破J版"" 大家珍重!))








还有很多hook的思路,硬编码注入,无模块注入,远程线程注入,手工加载PE,双进程,加壳技术,输入法注入等等.

源码慢慢发.求个互相关注~












IATHOOK.zip

2.64 MB, 下载次数: 141, 下载积分: 精币 -2 枚

作者: 一剑磨十年    时间: 2020-3-6 09:06
感谢分享~
作者: gaoqing    时间: 2020-3-6 11:11
谢谢分享!
作者: 天雨时晴    时间: 2020-3-6 19:39
支持开源感谢分享~
作者: 283688410    时间: 2020-3-6 23:07
纯支持一下,谢谢楼主分享
作者: 一粒红尘    时间: 2020-3-6 23:49
hook方面zy太少了
作者: jxc    时间: 2020-3-19 14:50
一直感觉hook很神秘
作者: kimcerhak    时间: 2020-3-19 19:24
ffwefwgwewewe
作者: rainbird    时间: 2020-3-19 19:56
看着很厉害的样子
作者: MXLong    时间: 2020-3-19 22:13
易语言,挺好
作者: hz2020    时间: 2020-3-28 21:37
谢谢分享
作者: 48187047    时间: 2020-3-29 07:25
看看啥样子的
作者: 水木凌风    时间: 2020-4-23 18:06
66666666666666666666666666a
作者: qqdream    时间: 2022-10-26 18:19
这个非常不错。拿走了、
作者: 283688410    时间: 2023-4-22 22:59
谢谢分享
作者: lukex951    时间: 2023-10-14 14:08
感谢楼主分享~~~



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4