精易论坛

标题: 【原创】获取系统API函数字节集 [打印本页]

作者: 莉繁 时间: 2024-11-2 20:58
标题: 【原创】获取系统API函数字节集
本帖最后由莉繁于 2024-11-3 18:54 编辑
前言

晚上好，我距离上次发帖已经将近4个月了。由于最近写的东西需要获取系统API的字节集数据，然后就写了出来。每日配装精易模块[v11.1.0]。
原理

通过LoadLibraryA,GetProcAddress等一些操作，获取API地址，并用指针到字节集来获取API地址往后的临时字节集，然后循环判断这个临时字节集，判断每次i的1-4个字节是否为0xCC（int3），如果是则代表分割到函数的有效代码；对临时字节集做删减，删除有效代码部分仅剩下API代码多余的n个int3，然后再次循环判断，判断每个字节是否为0xCC，如果不是则代码已经分割到另一个函数了，只需对此时循环的i-1即可。最后有效代码+CC代码就可得出整个API函数的字节集。

代码：

最后：你说这个代码是不是可以改成获取任意dll的api字节集呢？

作者: 283688410 时间: 2024-11-2 21:13
沙发支持一下

作者: hegh 时间: 2024-11-2 21:19
感谢分享，很给力！~

作者: 笑人心 时间: 2024-11-2 21:28
感谢分享！！！

作者: 微信lr 时间: 2024-11-2 21:33
发支持一下

作者: 谁的坏叔叔 时间: 2024-11-2 22:04

直接取子程序头尾不行蛮

作者: 勉勉 时间: 2024-11-2 22:05
请问一下这是什么UI啊，好好看

作者: 莉繁 时间: 2024-11-2 22:15

谁的坏叔叔发表于 2024-11-2 22:04
直接取子程序头尾不行蛮

没听懂

作者: 神女软件定制 时间: 2024-11-3 00:11
假设代码中有一部分包含0xcc呢，mov eax,0xcccccccc

作者: 784326742 时间: 2024-11-3 00:11
非正常调用的你取都取不到的

作者: renhe2018 时间: 2024-11-3 00:54
很好，支持。

作者: 莉繁 时间: 2024-11-3 01:21

神女软件定制发表于 2024-11-3 00:11
假设代码中有一部分包含0xcc呢，mov eax,0xcccccccc

是个好问题

作者: 神女软件定制 时间: 2024-11-3 02:27

莉繁发表于 2024-11-3 01:21
是个好问题

我是认为，必须要从头分析每个汇编指令，因为他是不定长，只要中间跳过一些，那么得到的都是不可信的

作者: 614430887 时间: 2024-11-3 02:59
感谢分享！！！

作者: 查过 时间: 2024-11-3 06:02
已经顶贴，感谢您对论坛的支持！

作者: 豆豆灰常开心 时间: 2024-11-3 06:07
感谢分享，很给力！~

作者: qwe111qwe 时间: 2024-11-3 07:30
感谢分享！！！！！

作者: 阿凡地方23 时间: 2024-11-3 08:34
感谢分享

作者: 2966457373 时间: 2024-11-3 08:37
只能说对一些函数有作用
如果函数里面有判断呢？
cmp eax,1
je
ret xxx

作者: jtucar 时间: 2024-11-3 08:47
感谢分享

作者: year1970 时间: 2024-11-3 09:44
感谢分享

作者: 佛学e语言 时间: 2024-11-3 10:00
谢谢楼主开源

作者: gaoqing 时间: 2024-11-3 10:40
谢谢分享

作者: 一指温柔 时间: 2024-11-3 11:10
感谢分享

作者: yezirun888 时间: 2024-11-3 12:33
66666666666666666666666666666666666666666666666666666666666666666666666666

作者: 勉勉 时间: 2024-11-3 12:48

勉勉发表于 2024-11-2 22:05
请问一下这是什么UI啊，好好看

感谢回复！！~

作者: ZJ3120 时间: 2024-11-3 16:35
学习学习

作者: qq73s5456 时间: 2024-11-3 18:09
得到字节集后呢，能直接置入代码调用？

作者: 莉繁 时间: 2024-11-3 18:54

qq73s5456 发表于 2024-11-3 18:09
得到字节集后呢，能直接置入代码调用？

看你怎么干喽

作者: 莉繁 时间: 2024-11-3 18:56

神女软件定制发表于 2024-11-3 02:27
我是认为，必须要从头分析每个汇编指令，因为他是不定长，只要中间跳过一些，那么得到的都是不可信的 ...

是的，没办法这个没有用反汇编引擎

作者: 亿万 时间: 2024-11-3 21:17

谢谢分享

作者: 艾玛克138 时间: 2024-11-3 22:08
好好顶贴，认真学习

作者: 汉族 时间: 2024-11-3 23:39
支持一下啊

作者: 美味萝卜 时间: 2024-11-4 08:00
支持一下啊

作者: mytiger 时间: 2024-11-4 08:27
感谢分享~!

作者: qhuyou2023 时间: 2024-11-4 09:32
感谢分享~!

作者: please 时间: 2024-11-4 09:37
感谢分享，支持开源！！！

作者: 笨来无一悟 时间: 2024-11-4 11:19
让俺瞅瞅

作者: wgqxj 时间: 2024-11-4 14:30
谢谢分享

作者: 396384183 时间: 2024-11-4 16:04
开源精神必须支持~

作者: 胖子葛格 时间: 2024-11-4 16:30
感谢大神分享~！

作者: 网络注册网员 时间: 2024-11-4 20:36
感谢分享

作者: beatone 时间: 2024-11-5 02:46
感谢分享，很给力！~

作者: bianyuan456 时间: 2024-11-5 06:49
本帖最后由 bianyuan456 于 2024-11-7 04:24 编辑

已经顶贴，感谢您对论坛的支持！这个写出来是为了防破解、防劫持系统函数调用吗？

作者: lm88818 时间: 2024-11-5 11:50
感谢分享，很给力！~

作者: ctry78985 时间: 2024-11-5 15:23
感谢分享

作者: AFK 时间: 2024-11-6 08:55
感谢分享，很给力！~

作者: wlsk888 时间: 2024-11-6 10:44
谢谢分享，可是这个获取出来有什么用呢？

作者: z573277679 时间: 2024-11-6 14:45
感谢分享

作者: mood100 时间: 2024-11-7 10:16
感谢分享，支持

作者: 原始世界 时间: 2024-11-8 13:35
学习学习，谢谢分享

作者: hai201086 时间: 2024-11-9 13:54
学习学习

作者: 真IKUN 时间: 2024-11-9 14:41
真IKUN，如果您要查看本帖隐藏内容请回复

作者: 酷易自绘 时间: 2024-11-9 17:40
RE: 【原创】获取系统API函数字节集 [修改]

作者: 光影魔术 时间: 2024-11-9 23:34
感谢分享

作者: 2533 时间: 2024-11-12 22:09
看看支持下

作者: zhemuzz 时间: 2024-11-19 19:50
感谢分享

作者: wkn20051123 时间: 2024-11-21 19:01
感谢分享，学习学习

作者: 韦贝贝 时间: 2024-11-22 18:54
感谢分享，很给力！~

作者: lipzzzz 时间: 2024-11-23 08:50
感谢分享，很给力！~

作者: 网络注册络员 时间: 2024-11-23 08:52
感谢分享

作者: woshiwangzheACE 时间: 2024-11-23 08:58
6666666666666666666666666666

作者: 熊不熊 时间: 2024-12-4 05:42
感谢分享，很给力！~

作者: wkn20051123 时间: 2025-3-24 16:12
感谢分享，很给力！~

作者: lieshou123 时间: 2025-5-13 21:53
感谢分享，很给力！~

作者: lieshou123 时间: 2025-5-13 21:56
感谢分享，很给力！~

欢迎光临精易论坛 (https://125.confly.eu.org/)