反内联API挂钩

20120427

模拟SE壳的反内联API挂钩的一个功能，这边只对部分系统dll进行了处理。

原：

经过处理后的：





具体可以看下例子！
有必要说下，VMP壳的输入表保护没有反内联API挂钩的作用，它只是隐藏了调用的api
win10另外还有一个小发现：apphelp.dll (应用程序兼容性客户端库)   这个主要是兼容系统用的，XP没有这个，AcLayers.dll这个也是兼容系统的，不同的是AcLayers.dll开启了兼容模式才会调用，它们两个都是通过HOOK自身的IAT实现兼容。。

通过OD载入和附加  ，被apphelp.dll HOOK的有些区别

被附加的这几个函数没有被HOOK，通过OD载入的，完全有区别。

分享的这个例子，加壳后就没有用了，这个例子是通过输入表修改的IAT。而加壳后的输入表不是本身的输入表了。。
反内联HOOK.zip (400.76 KB, 下载次数: 36)

2017-12-27 18:02 上传

点击文件名下载附件
原创
阅读权限: 10

更新了一下，支持加壳，需要注意的是输入表区段是 .rdata，另外vmp 加壳不要隐藏输入表，不然就没效果。自行测试。
原理是：获取.rdata区段，对IAT地址进行处理，被apphelp.dll HOOK的就管不了了
反内联HOOK2.zip (436.65 KB, 下载次数: 57)

2017-12-30 14:48 上传

点击文件名下载附件
原创
阅读权限: 10

Poner

可以可以  只不过为啥是易语言的。。   你干脆写个分析文章多好  浪费我两个CB。。

20120427

Poner 发表于 2017-12-27 18:15
可以可以  只不过为啥是易语言的。。   你干脆写个分析文章多好  浪费我两个CB。。

写出了内存运行，这个也不是难事了，没多少技术含量

bester

等一个模块开源

smnk

感谢分享，下载学习一下

signed

学习啊 强大的功能