摘要： 挂钩API（Hooking API）一般分为运行前挂钩和运行时挂钩。运行前挂钩是修改我们想要挂钩函数来自的物理模块（大多数时候是exe或者dll文件）。运行时挂钩则是直接修改进程的内存空间。本文的方法属于运行时挂钩。 如果是修改本进程的IAT来实现挂钩，可以直接使用imagehlp.dll里的ImageDirectoryEntryToData函数很容易地找到本进程的IAT。具体方法参考这篇... 阅读全文

摘要： 一、 Windows加载器 加载器读取一个PE文件的过程如下： 1． 先读入PE文件的DOS头，PE头和Section头。 2． 然后根据PE头里的ImageBase所定义的加载地址是否可用，如果已被其他模块占用，则重新分配一块空间。 3． 根据Section头部的信息，把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射的页的属性。 4． 如果... 阅读全文