IAT HOOK 纯手工出品 适合新手学习 代码简单 没有坑

supeng4676

这个是用到了superEC和精易模块,其他就是几个简单的API(模块中自带).
搜索了一下论坛,2014年有个帖子,但是测试了一下不行,需要有dll....
适合新手学习!大神勿喷.

注意事项:
1.易语言版本:5.8
2.调试模式不可以,需要编译出来,为了方便下载,编译后打包刚好超过3MB.就没编译.
3.易语言的信息框就是messageboxA,反而模块中的MessageBoxA却hook不到...没有看模块的源码,也不知道是哪个模块里面的.这里请教高手解答一下..
4.界面很丑


讲一下这个hook的过程吧,比较有意思的,而且还有很大的拓展:
1.exe,dll可以统称为模块,dll其实和exe本质上是一样的.这里统称为PE文件.
2.当PE文件加载到内存的时候,导入表内保存的需要导入的函数列表,会被释放到内存,同时IAT表中原来的xx会被系统修改为真实的地址.
比如messagebox的真实地址就会被保存到进程空间的IAT表中!从此就不变了,除非重启.
3.那么如果我们自己做一个假函数(参数数量,参数类型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候,
就会跳转到我们的函数里面,我们的函数里面可以随意做任何事情.

需要对PE结构有一点了解.百度资料很多.
不想消耗精币的.可以加QQ群:   xxxxxxxxxx 群空间有源码   刚建立的..我是个新手,欢迎一起讨论~
俺是做网工的,发现这个东西比网络有意思.希望有志同道合的朋友,一起爬坑++++

(QQ号也是小号,多年的大号发了破J软件被封了(真的会被封哦!怎么申诉都不行了,就发了一个""CDR破J版"" 大家珍重!))








还有很多hook的思路,硬编码注入,无模块注入,远程线程注入,手工加载PE,双进程,加壳技术,输入法注入等等.

源码慢慢发.求个互相关注~

一剑磨十年

感谢分享~

gaoqing

谢谢分享！

天雨时晴

支持开源感谢分享~

283688410

纯支持一下，谢谢楼主分享

一粒红尘

hook方面zy太少了

jxc

一直感觉hook很神秘

kimcerhak

ffwefwgwewewe

rainbird

看着很厉害的样子

MXLong

易语言，挺好