Dict.CN 在线词典, 英语学习, 在线翻译
随笔-98  评论-327  文章-0  trackbacks-0
采用修改导入节的HOOK方式使用范围

HOOK有很多种方法,修改导入节的指定API地址是一种方式,但这种方式有缺限,请看下面解释。
一般的PE文件对于静态导入的文件在其导入节中指定对应的API地址,但WINDOWS中的很多库文件是以DLL的方式连接的,因此在PE的导入节中并没有该符号的定义,所以使用这种方式对于那些使用LOADLIBARY和GETPROCESS的PE文件就HOOK不成功了。
这个时候应该使用其他的HOOK办法,例如:远程线程技术。

posted on 2006-03-06 16:59 笨笨 阅读(476) 评论(3)  编辑 收藏 引用

评论:
# re: 采用修改导入节的HOOK方式使用范围 2006-03-07 20:05 | code4fun
按照你前面说的,应该是HOOK API,只是我不知道你后来说远程线程是什么意思。远程线程只不过是一种Inject DLL的方式,至于你说的要HOOK API,一种解决方法就是在函数入口 Jmp detours function  回复  更多评论
  
# re: 采用修改导入节的HOOK方式使用范围 2006-03-07 21:40 | 笨笨
我后来也看到了这个问题,远程线程是一方面,但修改导入节对于动态调用的方式是不行的,需要取得GetProcAddress来得到地址,且跳转。  回复  更多评论
  
# re: 采用修改导入节的HOOK方式使用范围 2006-04-01 17:33 | Leon
呵呵,都不知道你反复提到远程线程是为什么,远程线程作为置入DLL的方法还是不错的,对于动态加载的DLL,修改导入节的方式当然是不行的,而且使用过程中会发现,很多人还是偏向于使用动态加载的,所以说,修改函数头才是王道啊.没见Detours用起来是那么的爽吗.  回复  更多评论
  

标题  
姓名  
主页
验证码 *
内容(提交失败后,可以通过“恢复上次提交”恢复刚刚提交的内容)  
  登录  使用高级评论  新用户注册  返回页首  恢复上次提交      
[使用Ctrl+Enter键可以直接提交]
相关链接:
网站导航:



Powered by: 博客园 模板提供:沪江博客 Copyright ©2008 笨笨