IAT

vc++HOOK API黑客外挂编程必知必会

 #include//定义API挂接项结构typedefstruct_HOOK_ITEM{ DWORD dwAddr;   //IAT项所在地址 DWORD dwOldValue;  //IAT项的原始函数地址
junwong·2012-03-09 16:00

IAT表详解

 http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/ IAT表详解IAT的全称是ImportAddressTable
cay22·2012-02-05 01:00

IAT HOOK 代码注入非DLL

Iat_Hook.h//头文件 #include #include #include #include #include #include #include"Winternl.h" #pragmacomment
wangyong0921·2011-12-20 11:00

用MFC输出所有导入函数名称时遇到的问题。

        用MFC写通过修改导入段的IAT来达到API拦截程序时,写了一个函数列举了所有导入函数的函数名。
ithzhang·2011-12-13 12:00

用MFC输出所有导入函数名称时遇到的问题。

用MFC写通过修改导入段的IAT来达到API拦截程序时,写了一个函数列举了所有导入函数的函数名。
xitong·2011-12-13 12:00

vc6 chkesp IATHook 出错解决

这几天写了个ring3的IATHOOK,这个hook比起大多数hook的优点:1、IAT中的跳转块地址来源于代码节的空隙2、空隙的地址随机化但是,在测试的时候,老是遇到进入_chkesp函数的时候会出错
winsunxu·2011-11-30 15:00

读书笔记_Rootkit技术之detour补丁

这种钩子远比IAT钩子强大,并不存在与Dll绑定时间相关的问题。在实现内联函数钩子时,rootkit实际上是重写了目标函数的代码字节,因此不管应用程序如何或者何时解析函数地址,都能够钩住函数。
wodamazi·2011-11-02 21:00

读书笔记_windows的APIHook技术_part 2

IAT钩子简单强大,但缺点是这种钩子比较容易被发现。
wodamazi·2011-10-23 21:00

读书笔记_windows下的混合钩子(HOOK)_part 1

混合HOOK使用IAT HOOK 勾住用户空间进程,下面来看IAT HOOK 每个API函数的地址都保存在IAT表中,每个CALL指令所使用的地址都是相应函数登记在IAT表中的地址。所以可
wodamazi·2011-10-07 16:00

修改IAT实现本进程API HOOK

修改IAT实现本进程APIHOOK//修改IAT实现本进程API HOOK  //coded by xicao  //QQ:327062448  //E-MAIL:[email protected]
Rixu Blog (日需博客)·2011-08-08 11:00

几种常见钩子 解释

Detours这个函数库可以帮助我们HOOK任意API,原理是两个一个是IAT一个是JMP指向方法从现在开始,介绍全部钩子类型,一共有15种。
fysy0000·2011-08-03 01:00

单词翻转

ReverseWords(string*wo):words(wo){}voidreverse_(){intlength=words->size();intbegin=-1,end=-1;for(inti=0;iat
acezhangcunyi·2011-07-18 16:00

获取IAT里的函数地址并修改

/*1*/HANDLEhCurrent=GetModuleHandle(NULL);/*2*/IMAGE_DOS_HEADER*pidh;/*3*/IMAGE_NT_HEADERS*pinh;/*4*/IMAGE_DATA_DIRECTORY*pSymbolTable;/*5*/IMAGE_IMPORT_DESCRIPTOR*piid; /*6*/pidh=(IMAGE_DOS_HEADER*)h
stonesharp·2011-07-15 11:00

挂钩Windows API

===========================[挂钩WindowsAPI]==================1.内容2.介绍3.挂钩方法3.1运行前挂钩3.2运行时挂钩3.2.1使用IAT挂钩本进程
rrrfff·2011-05-03 22:00

常用稳定的apiHook源码

apiHook.c//作者:luoluo[[email protected]]//参考:《挂钩WindowsAPI》SOBEIT翻译// 《通用Shellcode深入剖析》yellow文//说明:通过修改IAT
wangfaqiang·2011-02-24 09:00

通过call指令看静态IAT HOOK 实践EPO

 Call的几种不同形式序号指令反汇编含义1FF   D7Call   ediCallreg/call[reg+xx]2E8   68F9FEFFcall   01001F51Call立即数3FF15 EC110001call   dwordptr[10011EC]Calldowrdptr[立即数] FF指令01013FE6FFD0calleax01013FE8FFD3callebx01013FE
farcall·2011-02-11 19:00

IAT HOOK的检测

IATHOOK的检测IATHOOK的检测在EXE加载前,IAT表中的结构和INT表中的结构内容一致,如果所示,OriginalFirstThunk指向INT中第一个IMAGE_THUNK_DATA,FirstThunk
laokaddk·2010-12-13 23:46

修改IAT实现本进程API HOOK

修改IAT实现本进程APIHOOK原文地址:http://blog.csdn.net/leeeryan/archive/2010/06/08/5656364.aspx// APIHOOKImageDirectoryEntryToData.cpp
编程自动化·2010-10-14 15:00

delay load深入分析

上一篇文章中通过一个实例分析了importtable/IAT及调用外部函数的工作原理。在本文中我们还是将通过一个实例分析一下delayload的工作原理。 
panda1987·2010-10-12 21:00

PE中的import table/IAT 分析

本文将通过一个实例说明PE结构中的importtable及importaddresstable(IAT). 
panda1987·2010-10-08 20:00

定位IAT并输出导入函数名称和对应的函数地址

 1#include  2#include  3 4void main() 5{ 6//取得主模块的模块句柄(即进程模块基地址) 7HMODULE hMod = GetModuleHandle(NULL); 8 9//把进程基址赋给pDosHeader,即起始基址就是PE的IMAGE_DOS_HEADER10IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEA
阿π·2010-08-23 13:00

修改IAT实现API HOOK

修改IAT实现APIHOOKRobinh00d@2006-05-1016:35//修改IAT实现本进程APIHOOK//codedbyrobinh00d*inh4ss*//QQ:530222815//MSN
S.l.e!ep.¢%·2010-07-01 14:00

修改IAT实现本进程API HOOK

//修改IAT实现本进程APIHOOK//codedbyxicao//QQ:327062448//E-MAIL:[email protected]#include#include//ImageDirectoryEntryToData
leeeryan·2010-06-08 17:00

给主防来个釜底抽薪

只知道她有一套信息采集系统(SSDT/SHADOW HOOK ,IAT HOOK, EAT HOOK, INLINE HOOK, NotifyRoutine,系统消息钩子),并巧妙利用堆栈回溯来获取更多信息
lwglucky·2010-06-04 21:47

给主防来个釜底抽薪

只知道她有一套信息采集系统(SSDT/SHADOW HOOK ,IAT HOOK, EAT HOOK, INLINE HOOK, NotifyRoutine,系统消息钩子),并巧妙利用堆栈回溯来获取更多信息
lwglucky·2010-06-04 21:47

API钩子(IAT修改方式)

   在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转
pyhcx·2010-05-23 19:46

API钩子(IAT修改方式)

在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转。
pyhcx·2010-05-23 19:46

API钩子(IAT修改方式)

   在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转
pyhcx·2010-05-23 19:46

PE文件基础补注(VC+纯API版)

PE文件基础补注关键词:PE文件 地址转换IAT IMAGE_IMPORT_BY_NAME前言:最近学习PE,略有心得,拿来和大家分享. 
lwglucky·2010-04-17 00:25

PE文件基础补注(VC+纯API版)

PE文件基础补注关键词:PE文件 地址转换IAT IMAGE_IMPORT_BY_NAME前言:最近学习PE,略有心得,拿来和大家分享. 
lwglucky·2010-04-17 00:25

API HOOK的 IAT方法

IAT法 IAT法就是通过修改IAT表中的函数地址而达到的API截获的方法。 1.技术与实现 每个调用的API函数地址都保存在IAT表中。
misterliwei·2010-04-06 19:00

[zz]IAT

[zz]IAT导入地址表(IAT):ImportAddressTable由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL中.当PE文件被装入内存的时候,Windows
小默·2009-12-14 18:00

HOOK其他进程API和全局HOOK-API

(如果你是HOOK高手就不要看了) 在最初学HOOK-API的时候通常都是通过覆盖地址和修改IAT的方法。通过这两种技术,我们基本都可以实现对本进程的API函数进行HOOK了。
S.l.e!ep.¢%·2009-11-06 12:00

[原创]一个未知壳的分析过程

IAT处理上,很像是PE-Armor。需要修复TLS表。
聚星亭·2009-10-12 15:00

hook dx然后绘制出fps

这里是修改iat,另外还可以用类似deours的方
doudouhuy·2009-07-16 19:00

HOOK IAT的代码与例子,备忘

阅读更多#includePVOIDHookAPI(PBYTEpbModule,PCSTRpszName,PVOIDpvOrg,PVOIDpvNew){PIMAGE_THUNK_DATAr;PIMAGE_NT_HEADERSp;PIMAGE_IMPORT_DESCRIPTORq;p=(PIMAGE_NT_HEADERS)(pbModule+((PIMAGE_DOS_HEADER)pbModule)-
zhangyafei_kimi·2009-04-29 16:00

HOOK IAT的代码与例子,备忘

#include <Windows.h> PVOID HookAPI(PBYTE pbModule, PCSTR pszName, PVOID pvOrg, PVOID pvNew) { PIMAGE_THUNK_DATA r; PIMAGE_NT_HEADERS p; PIMAGE_IMPORT_DESCRIPTOR q; p = (PIMAGE_NT
zhangyafei_kimi·2009-04-29 16:00

HOOK IAT的代码与例子,备忘

#include <Windows.h> PVOID HookAPI(PBYTE pbModule, PCSTR pszName, PVOID pvOrg, PVOID pvNew) { PIMAGE_THUNK_DATA r; PIMAGE_NT_HEADERS p; PIMAGE_IMPORT_DESCRIPTOR q; p = (PIMAGE_NT
zhangyafei_kimi·2009-04-29 16:00

vc++HOOK API黑客外挂编程必知必会

 #include//定义API挂接项结构typedefstruct_HOOK_ITEM{ DWORD dwAddr;   //IAT项所在地址 DWORD dwOldValue;  //IAT项的原始函数地址
yincheng01·2009-04-14 11:00

vc++HOOK API黑客外挂编程必知必会

#include <windows.h> // 定义API挂接项结构typedef struct _HOOK_ITEM {DWORDdwAddr ;// IAT项所在地址DWORDdwOldValue
winzenghua·2009-04-14 11:00

vb软件破解手记

第一步:脱壳,用esp定律,很快就找到oep,dump,修复IAT,脱壳完毕,没什么异样之处。第二步:用idapro扫,得到了一堆很
lzf_china·2009-03-02 13:00

手动脱ASPack壳

write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT
webcenterol·2009-02-06 19:00

手动脱UPX壳

write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT
webcenterol·2009-02-06 17:00

针对thin-stream交互式应用减少TCP延迟

如果一个stream满足以下1个条件则称为thinstream: (1)报文interarrivaltime(IAT)太高无法触发快速重传; (2)报文size通常远低于maximumsegmentsize
kapu·2009-01-20 11:25

rootkit hook 之[七]--- IAT Hook

 作者:combojiang时间:2008-03-07,11:37链接:http://bbs.pediy.com/showthread.php?t=60778今天这篇HOOK,主要是讲在内核中HOOK WIN32 API的办法。这个办法,比你采用全局钩子加载DLL来HOOK API的方法更具有隐蔽性。 到这里我们的内核hook 7篇组成的“七星剑法“就练完了。后面将开始关于保护模式的八篇文章,希望
iiprogram·2008-08-25 23:00

手动确定IAT的地址与大小

tid=24623[/url] 当我们找到OEP后,用ImportREC的“IATAutoSearch”按钮,一般情况下ImportREC可以自动识别出IAT地址与大小。
yuncx·2008-07-08 10:19

API HOOK学习笔记一

内容:从EXE文件的运行过程中分析导入表和IAT表一个最简单的APIHOOK程序关于绑定从EXE文件的运行过程中分析导入表和IAT表样本程序代码:#include#include voidfunc(){
jcwKyl·2008-06-06 19:00

卸载远端进程模块(张佩)

我想到用遍历IAT的方法,找到唯一的dll名字,然后将它隐藏。我虽然没有实际去做,但我立刻就意识到了此方法的缺点
changpei·2008-03-24 12:00

[转]模拟WSockExpert,使用APIHOOK

模拟WSockExpert,使用APIHOOK不知道大家用过WSockExpert没有,它可以用来截获指定进程网络数据的传输.前面我还以为它是通过实时远程注入DLL来更改IAT.不过后来发现在程序一运行时
ngaut·2007-11-26 18:00

黑鹰破解提权班 66课

第一课:学会欺骗&辨别欺骗PEID之两例第二课:vfp&exeNc6.20内存型脱壳第三课:手动修改PE头&TeLock的IAT处理第四课:WinUPack脱壳分析&资源&PE头的修复第五课:EasyCHM
kadis·2007-10-19 08:21
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他