摘要：勾取dll源码详解： 首先在创建时候来保存原始IAT地址到全局变量，然后通过Hook_iat函数来进行iat函数的勾取 hook_iat参数1，dll名称， 参数2，原始的API地址（需要被勾取的） 参数3，自己写的替换API地址的函数（勾取函数） 自写的勾取函数主要功能是将阿拉伯数字转换为中文数字 阅读全文

摘要：调试器的工作原理： 调试进程经过注册后，每当被调试者发生调试事件（DebugEvent）时，OS就会暂停其运行，并向调试器报告相应事件，然后调试器对相应事件进行处理，使被调试者继续运行。 具体调试流程如下： 源代码例子分析： 1.首先判断是否附加成功，如果没有附加成功则提示错误信息，并退出； 2.当 阅读全文

摘要：进程创建期修改PE输入表法的原理和静态修改PE输入表完全相同，可以在R3/R0的各个阶段进行干预（必须在主线程运行之前）。 1.以读写方式打开目标文件： 这里可以加上个文件是否打开的判断，如果失败则返回，如果成功则开始获取目标进程中的PE结构信息。 2.1 首先将要解析PE格式的初始值定义成构造函数 阅读全文

摘要：1.三种DLL加载时机： 进程创建加载输入表中的DLL（静态输入） 通过调用LoadLibrary主动加载（动态加载） 系统预设加载 通过干预输入表处理过程加载目标dll 1.静态修改PE输入表法(测试程序 Notepad.exe) 准备工作：自行编写一个MsgDLL，到处一个函数Msg(); 参数 阅读全文