第29章:API钩取-逆向分析之花
钩取的流程:
1.使用反汇编/调试器把握程序的结构和工作原理.
2.开发需要的"钩子"代码,用于修改Bug,修改程序功能.
3.灵活操作可执行文件与进程内存,设置"钩子"代码.
使用场景: 程序无源代码或难以修改.
API: Application Programming Interface,应用程序编程接口.用户无法直接使用系统资源,必须通过API向内核申请资源.因而要加载很多系统进程
只有某些特定的系统进程(例如,smss.exe)不会加载 kernel32.dll库, kernel32.dll 会加载ntdll32.dll .而在GUI应用程序中 uer32.dll 和 gdi32.dll 是必需的库.
通过API钩取可以实现对某些API调用过程的拦截,并获得相应的控制权限.
修改IAT处的函数地址: 实现简单,但无法钩取动态加载并使用DLL时的API.
代码修改: ①使用JMP指令修改其实代码②覆写函数局部③修改局部的局部.
修改EAT: 将DLL中的EAT地址改为钩取函数地址.但是不容易做到.
调试也包含自己编写的程序,通过调试API附加到目标进程.
注入包含DLL注入和代码注入.