实用电脑技术实例-0915.pdfVIP

破解技术实例0915-接着讲和DLL与代码插入有关的几点看法 标 题: 接着讲和DLL与代码插入有关的几点看法 作 者: bookworm 详细信息 ?微软的detours本质上和一些trojan的方法是一样的，只不过它的本意是 用来帮助调试程序。如果你的程序调用一些API后并不判断返回的结果和一些 可能的出错情况，就可能会crash。他的目的就是帮助你的程序多崩溃几次 ，让你别太得意。 进程内的API hooking一般有两种：patch Import Table，将主程序的输入函数的入口地址改成你自己的，几年前的病毒和木 马爱用，相对简单一些；一种就是detours和不少木马的direct function entry point patching，通过查找对应DLL的输出函数表得到API的起始点，然后简单地 反汇编和判断一下，一般保留开始的5个byte（也可能更多），然后从起始点 改成JUMP（E9 xxxx xxxx）到你的函数点去执行。所以如果原来的API还不到5个字节，你 是没法改它的，否则你如何JUMP? 在你的函数里，可以有两条执行路径： 1。在你的函数执行完的RET之前，先执行你前面保留的原来的函数的入口 点的指令，然后JUM