Здравствуйте. Тыкините пальцем в каком направлении копать по поводу перехвата функий не изменяя ни единого байта. То есть сплайсинг палится на раз-два. Как это обойти ? Возможно ли это без использования самых низов ОС, то есть в юзер моде.
артём612
09.11.2014, 12:13
Здравствуйте. Тыкините пальцем в каком направлении копать по поводу перехвата функий не изменяя ни единого байта. То есть сплайсинг палится на раз-два. Как это обойти ? Возможно ли это без использования самых низов ОС, то есть в юзер моде.
Можно изменить адрес перехватываемой функции на свой обработчик в таблице импорта.
Но всё же мы изменим 4 байта для изменения адреса,и вызов функции через GetProcAddress обойдёт наш хук.
Так же можно по извращенски поступить и устанавливать хуки через отладочные брейкпоинты.
Плюсы :
Мы не изменяем ни единого байта
Минусы :
Если программа использует анти отладку это не сработает
Можно установить всего 4 хука
Nmap
11.11.2014, 01:13
Так же можно по извращенски поступить и устанавливать хуки через отладочные брейкпоинты.