Location:
Search - Hook PE
Search list
Description: 这是一个编辑/查看PE文件导出表的工具。利用它可以方便的对PE文件的导出表进行增、删、改的操作,现在它还可以用于给没有导出表的文件添加导出函数。
这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。
Platform: |
Size: 97087 |
Author: 董林 |
Hits:
Description: 加密解密技术内幕
第1章 PE文件格式深入研究
1.1 PE文件格式格式纵览
1.1.1 区块(Section)
1.1.2 相对虚拟地址(Relative Virtual Addresses)
1.1.3 数据目录
1.1.4 输入函数(Importing Functions)
1.2 PE文件结构
1.2.1 The MS-DOS头部
1.2.2 IMAGE_NT_HEADERS头部
1.2.3 区块表(The Section Table)
1.2.4 各种块(Sections)的描述
1.2.5 输出表
1.2.6 输出转向(Export Forwarding)
1.2.7 输入表
1.2.8 绑定输入(Bound import)
1.2.9 延迟装入数据(Delayload Data)
1.2.10 资源
1.2.11 基址重定位(Base Relocations)
1.2.12 调试目录(DebugDirectory)
1.2.13 NET头部
1.2.14 TLS初始化
1.2.15 程序异常数据
第2章 PE分析工具编写
2.1 文件格式检查
2.2 FileHeader和OptionalHeader内容的读取
2.3 得到数据目录(Data Dircetory)信息
2.4 得到块表(SectionTable)信息
2.5 得到输出表(ExportTable)信息
2.6 得到输入表(ImportTable)信息
第3章 Win32 调试API
3.1 Win32调试API原理
3.1.1 调试相关函数简要说明
3.1.2 调试事件
3.1.3 如何在调试时创建并跟踪一个进程
3.1.4 最主要的循环体
3.1.5 如何处理调试事件
3.1.6 线程环境详解
3.1.7 如何在另一个进程中注入代码
3.2 利用调试API编写脱壳机
3.2.1 tElock 0.98脱壳简介
3.2.2 脱壳机的编写
3.3 利用调试API制作内存补丁
3.3.1 跨进程内存存取机制
3.3.2 Debug API机制
第4章 Windows下的异常处理
4.1 基本概念
4.1.1 Windows下的软件异常
4.1.2 未公开的可靠吗
4.2 结构化异常处理(SEH)
4.2.1 异常处理的基本过程
4.2.2 SEH的分类
4.2.3 相关API
4.2.4 SEH相关数据结构
4.3 异常处理程序设计
4.3.1 顶层(top-level)异常处理
4.3.2 线程异常处理
4.3.3 异常处理的堆栈展开(Stack unwind)
4.3.4 异常处理程序设计中的几个注意事项:
4.4 SEH的简单应用
4.4.1 Win9x下利用SEH进ring0
4.4.2 利用SEH实现对自身的单步自跟踪
4.4.3 其它应用
4.5 系统背后的秘密
4.6 VC是如何封装系统提供的SEH机制的
4.6.1 扩展的EXCEPTION_REGISTRATION级相关结构
4.6.2 数据结构组织
4.7 Windows XP下的向量化异常处理(VEH)
第5章 软件加密技术
5.1 反调试技术(Anti-Debug)
5.1.1 句柄检测
5.1.2 SoftICE后门指令
5.1.3 int68子类型
5.1.4 ICECream子类型
5.1.5 判断NTICE服务是否运行
5.1.6 INT 1 检测
5.1.7 利用UnhandledExceptionFilter检测
5.1.8 INT 41子类型
5.2 反跟踪技术(Anti-Trace)
5.2.1 断点检测
5.2.2 利用SEH反跟踪
5.2.3 SMC技术实现
5.3 反加载技术(Anti-Loader)
5.3.1 利用TEB检测
5.3.2 利用IsDebuggerPresent函数检测
5.3.3 检查父进程
5.4 反DUMP技术(Anti-Dump)
5.5 文件完整性检验
5.5.1 CRC校验实现
5.5.2 校验和(Checksum)
5.5.3 内存映像校验
5.6 反监视技术(Anti-Monitor)
5.6.1 窗口方法检测
5.6.2 句柄检测
5.7 反静态分析技术
5.7.1 扰乱汇编代码
5.7.2 花指令
5.7.3 信息隐藏
5.8 代码与数据结合技术
5.9 软件保护的若干忠告
第6章 加壳软件编写
6.1 外壳编写基础
6.1.1 判断文件是否是PE格式的EXE文件
6.1.2 文件基本数据的读入
6.1.3 额外数据保留
6.1.4 重定位数据的去除
6.1.5 文件的压缩
6.1.6 资源区块的处理
6.1.7 区块的融合
6.1.8 输入表的处理
6.1.9 外壳部分的编写
6.1.10 将外壳部分添加至原程序
6.1.10 小结
6.2 加壳程序综合运用的实例
6.2.1 程序简介
6.2.2 加壳子程序(WJQ_ShellBegin())
6.2.3 PE外壳程序
6.2.4 加进Anti技术
6.2.5 通过外壳修改被加壳PE
6.2.6 VC++调用汇编子程序
第7章 如何让壳与程序融为一体
7.1 序
7.1.1 为何需要壳和程序一体化
7.1.2 为阅读此章节需要的知识
7.1.3 基于此章节用的的例子程序说明
7.2 欺骗检查壳的工具
7.2.1 fi是如何检查壳的
7.2.2 欺骗fi
7.3 判断自己是否给脱壳了
7.3.1 判断文件尺寸
7.3.2 检查标记
7.3.3 外部检测(使用dll)
7.3.4 hook 相关的api(防止loader和调试api)
7.4 使用sdk把程序和壳溶为一体
7.4.1 sdk的意义
7.4.2 做一个带sdk的壳
7.5 后记:关于壳和程序的思考
第8章 Visual Basic 6 逆向工程
8.1 简介
8.2 P-code传奇
8.3 VB编译奥秘
8.4 VB与COM
8.5 VB可执行程序结构研究
8.6 VB程序事件解读
8.7 VB程序图形界面(GUI)解读
8.8 VB程序执行代码研究
8.9 我们的工具
8.10 VB程序保护篇
附录A 在Visual C++中使用内联汇编
附录B 在Visual Basic中使用汇编
Platform: |
Size: 1389111 |
Author: vachel |
Hits:
Description: 一个介绍PE格式的文档,很直观,有兴趣的人也可以打印下来!-introduced a PE format files, intuitive, interested people can also print down!
Platform: |
Size: 8192 |
Author: 认密码 |
Hits:
Description: 这篇文章是有关在OS Windows下挂钩API函数的方法。所有例子都在基于NT技术的Windows版本NT 4.0及以上有效(Windows NT 4.0, Windows 2000, Windows XP)。可能在其它Windows系统也会有效。
你应该比较熟悉Windows下的进程、汇编器、PE文件结构和一些API函数,才能明白这篇文章里的内容。
这里使用"Hooking API"这个术语表示对API的完全修改。当调用被挂钩的API时,我们的代码能立刻被执行。我将写下完全的挂钩过程。
-This article is concerned with the OS Windows API function linked to the method. All the examples are based on the NT version of Windows NT 4.0 and above effective (Windows NT 4.0, Windows 2000, Windows XP). In other Windows system will effectively. You may be familiar with the process under Windows, assembler, PE file structure and some API function, in order to understand this article's content. Here the use of "56.6 API," said the term of the complete API changes. When the call was linked to the API, the code can be executed immediately. I will write entirely linked to the process.
Platform: |
Size: 18432 |
Author: inwing |
Hits:
Description: 这是一个编辑/查看PE文件导出表的工具。利用它可以方便的对PE文件的导出表进行增、删、改的操作,现在它还可以用于给没有导出表的文件添加导出函数。
这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。-This is an edit/view PE file Export Table tool. It can be convenient to use for PE files by exporting table, delete, change operations, and now it can be used to export the table did not add export function. PE diy this tool in addition to outside, through the Export function to add information such as Forward method can also achieve the function hook, dll injection functions.
Platform: |
Size: 96256 |
Author: 董林 |
Hits:
Description: PE文件是windows(95/98/NT)目前采用的可执行文件格式。流行的CIH病毒就是通过改变PE文件的内容,并且保持文件大小不变,从而实现自己的功能。本程序通过分析PE文件格式,将可执行文件的文件定位表重新定位,指向用户编写的DLL,然后指令指针返回正常调用位置。在DLL中通过系统挂钩,实现了后台各种级别密码的截获功能。 -PE file is windows (95/98/NT) is currently used in the executable file format. CIH virus is prevalent PE by changing the contents of the file, and keep the file size unchanged, and thus realize their functions. This procedure by analyzing the PE file format, the executable file to re-positioning table positioning, pointing users to the preparation of the DLL, and then return to normal call instruction pointer location. Adopted in the DLL system linking all levels realize the background of the intercepted password function.
Platform: |
Size: 64512 |
Author: sujun |
Hits:
Description: HOOK API,对于一个没有接触过人而言,时个神秘地带,真有那么神秘码?微软提供了这方面的开发包DETOUES,很简单,不需要其他工作就可以实现了,不需要跳转指令,不需要修改PE头,更不需要枚举当前所有进程和即将启动的进程-HOOK API, no contact for a man is concerned, when a mysterious area code really so mysterious? Microsoft provided an SDK DETOUES, very simple, no other work can be achieved, and do not need to Jump instructions, will not need to change PE header, but do not need to enumerate all the current process and will soon start the process of
Platform: |
Size: 808960 |
Author: |
Hits:
Description: 可以实现PE HOOK。这种方法对于拦截、分析其他内核驱动的函数调用来说用的比较多。原理是根据替换 PE 格式导出表中的相应函数来实现的。
-Can achieve PE HOOK. This method for the interception, analysis of other core-driven function call is used more. The principle is based on PE format to export table to replace the corresponding function of the implementation.
Platform: |
Size: 24576 |
Author: Liam |
Hits:
Description: VBAPIHooker - API拦截类(这是主角,它需要用到以下三个类)
VBMemoryAllocator - 内存分配管理类
VBPEFnLocator - PE文件导入/导出函数定位类
VBMiniWindow - 迷你消息窗口类-VBAPIHooker- API interception type (which is the main character, it needs to use the following three categories) VBMemoryAllocator- memory allocation and management VBPEFnLocator- PE file import/export function category positioning VBMiniWindow- mini-message window class
Platform: |
Size: 60416 |
Author: soul |
Hits:
Description: Sometimes, we run into a situation when we badly need to hook some kernel function, but are unable to do it via conventional PE-based hooking. This article explains how kernel functions can be directly hooked. As a sample project, we are going to present a removable USB storage device as a basic disk to the system, so that we can create and manage multiple partitions on it (for this or that reason, Windows does not either allow or recognize multiple partitions on removable storage devices, so we are going to cheat the system). On this particular occasion, we will hook only one function, but the approach described in this article can be extended to handle multiple functions (for example, one of my projects required direct hooking of quite a few functions from the NDIS library). You should clearly realize that this article is about direct hooking and not about dealing with USB storage, so please don t tell me that the sample problem may have been solved differently.
Platform: |
Size: 10240 |
Author: gto |
Hits:
Description: ImportView 输入表view工具的源代码,很好学习PE结构的输入表结构,应用于IAT HOOK-ImportView input tools, source code for the table view, very good to learn the structure of PE input table structure, used in IAT HOOK
Platform: |
Size: 31744 |
Author: 张希行 |
Hits:
Description: hook技术,用于注入pe拦掉网络封包,有利于网络游戏的分析-hook technology for network packet injection pe block away, is conducive to the analysis of online games
Platform: |
Size: 1787904 |
Author: 钟小春 |
Hits:
Description: 基本的驱动编程和客户端,客户端分析PE文件,重定位后,传给驱动,恢复被360 Hook的KifastCallEntry函数,同时,该源码还能实现对大多数安全软件进行强杀,如卡巴,360,瑞星,等等。仅限XP系统。-Basic programming and client-driven, client-side analysis PE file, re-positioning, passing drivers, restore 360 Hook' s KifastCallEntry function at the same time, the source also enables the strong to kill the majority of security software, such as carbachol, 360, Rising, and so on. Only XP.
Platform: |
Size: 2528256 |
Author: zzz |
Hits:
Description: 对pe文件详细介绍 学HOOK API 时能用上-an intrudution to pe file in detail
is useful to hook api
Platform: |
Size: 163840 |
Author: 刘永贵 |
Hits:
Description: api hook ,windows下pe挂钩的, 拦截 改写驱动安装api 的例子 +++++分-api hook ,windows下pe挂钩的, 拦截 改写驱动安装api 的例子+++++分
Platform: |
Size: 77824 |
Author: 马楹坤 |
Hits:
Description: 别类的的注入方法实现 (解析PE结构写入目标DLL)-othe inject HOOK
Platform: |
Size: 4096 |
Author: 任晓枫 |
Hits:
Description: 易语言PE操作源码,各种PE操作,里面附带各种hook,钩子-PE operation easy language source code, all kinds of PE operations, which included a variety of hook, hook
Platform: |
Size: 98304 |
Author: 沈学雄 |
Hits:
Description: 导出表钩子的实例代码,导出表是pe的一个重要结构-import table hook
Platform: |
Size: 13312 |
Author: lier |
Hits:
Description: 通过分析PE文件格式,修改函数入口点,实现IAT HOOK-By analyzing PE file format, modify the function entry points, for IAT HOOK
Platform: |
Size: 118784 |
Author: YQH |
Hits:
Description: APIHOOK,通过遍历PE文件修改导出函数表进行HOOK-APIHOOK, by traversing the PE file to modify the derived function table HOOK
Platform: |
Size: 541696 |
Author: jtmarmot |
Hits: