 Thông báo |
|
03-06-2010, 05:22 AM
|
#1
|
|
IAT Hooking
03-06-2010, 05:22 AM
IAT Hooking là một kỹ thuật hook hàm API. Tôi có t́m trên mạng một số source code nhưng không rơ ràng lắm. V́ vậy tôi quyết định viết tut này chủ yếu để làm rơ cho những ai c̣n lờ mờ chưa thực hiện được kỹ thuật này. Bài viết tôi không viết kỹ chi tiết về lư thuyết. Chủ yếu là đề xuất cho bạn một ví dụ source code, để các bạn tham khảo thực hiện. V́ vậy tôi có sử dụng lại một số nội dung trong các bài viết của các tác giả khác. Mong các bạn thông cảm v́ thực sự tôi ko có thời gian nhiều. Khi nào rănh sẽ trao chuốc lại tut này. Code ví dụ bài viết này chủ yếu dựa vào bài tut rất nổi tiếng: “Technics of hooking API functions on Windows” của Holy_Father .
Download:
http://www.mediafire.com/?33m4gowymvk
Ghi chú : code này chưa chuẩn mực, chỉ tham khảo để hiểu cơ chế |
benina
Elite member
Tham gia ngày: Aug 2008
Bài gửi: 208
Thanks: 78
Thanked 563 Times in 151 Posts
|
|
|
|
Lần đọc: 465
|
|
The Following 7 Users Say Thank You to benina For This Useful Post:
|
|
03-06-2010, 07:30 AM
|
|
Junior Member
|
|
Tham gia ngày: Oct 2009
Bài gửi: 13
Thanks: 32
Thanked 0 Times in 0 Posts
|
|
down không được anh benina ạ.
__________________
air!
|
03-06-2010, 09:27 AM
|
 |
Elite member
|
|
Tham gia ngày: Aug 2008
Bài gửi: 208
Thanks: 78
Thanked 563 Times in 151 Posts
|
|
Quote:
Nguyên văn bởi airsport
down không được anh benina ạ.
|
Văn download được b́nh thường mà em.
__________________
Hello Vxer
My blog: rootbiez.blogspot.com & http://rootbiez.spaces.live.com
|
03-06-2010, 09:32 AM
|
|
Member
|
|
Tham gia ngày: Apr 2008
Bài gửi: 95
Thanks: 100
Thanked 1.218 Times in 61 Posts
|
|
Download được mà 
Thanks anh benina
|
|
The Following 40 Users Say Thank You to T4mQu0c For This Useful Post:
|
abels (04-09-2010), airsport (04-17-2010), bolzano_1989 (03-26-2010), cando (03-31-2010), chunchang (04-20-2010), Darkknight9X (03-27-2010), darkrider (04-20-2010), datuanmac (04-24-2010), dieucay555 (03-30-2010), dk_giangho (04-03-2010), ducanhnguyen2k (04-26-2010), DungCoi (03-26-2010), duydong90 (05-28-2010), faheel (03-30-2010), Fire Dragon (03-26-2010), heaven_ghost94 (03-28-2010), hqtb84 (04-01-2010), karo (04-06-2010), khanhduy301 (03-26-2010), kilonakilona10 (04-06-2010), lk.park (04-11-2010), meoconlongvang (03-26-2010), meoconluoitam (03-26-2010), MrSkynet (04-10-2010), nguoibachviet (04-05-2010), NhatPhuongLe (03-29-2010), playboy6006 (03-31-2010), quangredlight (04-05-2010), shinra (04-28-2010), snowflake (03-26-2010), tdthinhqn (04-18-2010), thefinalgoal (04-19-2010), tinhlachi09 (04-28-2010), TQN (03-26-2010), Tran Quang Ha (04-02-2010), trashbin (04-08-2010), trimitu (03-28-2010), vanquyen2112 (03-26-2010), vddhiep (03-28-2010), xanhxao (04-07-2010) |
03-07-2010, 04:27 AM
|
|
Member
|
|
Tham gia ngày: Mar 2009
Bài gửi: 42
Thanks: 16
Thanked 17 Times in 8 Posts
|
|
H́nh như kỹ thuật của bác benina là hook ngay trong IAT table của binary file, ngoài ra em c̣n thấy 1 kỹ thuật IAT khác là nó thay thế địa chỉ IAT nằm trong process memory lun, ko đụng đến cấu trúc PE file. Ko bít ưu & nhược điểm của 2 loại này khác nhau thế nào nhỉ?
Thân,
|
03-07-2010, 04:35 AM
|
 |
~.tmp
|
|
Tham gia ngày: Mar 2008
Đến từ: %temp%
Bài gửi: 1.275
Thanks: 1.251
Thanked 1.195 Times in 413 Posts
|
|
Quote:
Nguyên văn bởi vietwow
H́nh như kỹ thuật của bác benina là hook ngay trong IAT table của binary file, ngoài ra em c̣n thấy 1 kỹ thuật IAT khác là nó thay thế địa chỉ IAT nằm trong process memory lun, ko đụng đến cấu trúc PE file. Ko bít ưu & nhược điểm của 2 loại này khác nhau thế nào nhỉ?
Thân,
|
Cái này em ko hiểu ư anh lắm, nhưng đă gọi là hook th́ làm ǵ có vụ chỉnh binary file, khi nào cũng là điều chỉnh trực tiếp trên memory mà ?
Em có hiểu nhầm ǵ th́ mong được chỉnh đốn dùm
|
03-07-2010, 05:10 AM
|
|
Elite member
|
|
Tham gia ngày: Aug 2008
Bài gửi: 208
Thanks: 78
Thanked 563 Times in 151 Posts
|
|
Quote:
Nguyên văn bởi vietwow
H́nh như kỹ thuật của bác benina là hook ngay trong IAT table của binary file, ngoài ra em c̣n thấy 1 kỹ thuật IAT khác là nó thay thế địa chỉ IAT nằm trong process memory lun, ko đụng đến cấu trúc PE file. Ko bít ưu & nhược điểm của 2 loại này khác nhau thế nào nhỉ?
Thân,
|
Bác xem kỹ phần ví dụ, đâu có chỉnh IAT của binary file. Nó chỉnh bảng IAT trong memory khi process được Win32 Loader load hoàn chỉnh lên bộ nhớ. Thực ra tut này chỉ cố gắng để các bạn hiểu chổ này nên tôi có dùng Olly để debug. Chứ thực ra cách này là dễ nhất và thuần nhất.
__________________
Hello Vxer
My blog: rootbiez.blogspot.com & http://rootbiez.spaces.live.com
Lần sửa cuối bởi benina; 03-07-2010 lúc 05:17 AM
|
|
The Following 3 Users Say Thank You to benina For This Useful Post:
|
|
03-07-2010, 08:06 AM
|
|
Member
|
|
Tham gia ngày: Mar 2009
Bài gửi: 42
Thanks: 16
Thanked 17 Times in 8 Posts
|
|
Sorry anh em, ḿnh newbie nên c̣n "gà", có ǵ mong anh em thông cảm  đúng là ko liên quan binary
Đúng là em nhầm, nhưng v́ thật sự em có đọc 1 số tut IAT ko hề tác động đến phần cấu trúc PE file luôn và code viết đơn giản hơn code lọai của bác benina, để hôm nào lục lại rồi post lên cho mọi người xem
|
03-10-2010, 01:27 AM
|
|
Junior Member
|
|
Tham gia ngày: Oct 2009
Bài gửi: 13
Thanks: 32
Thanked 0 Times in 0 Posts
|
|
Re
Quote:
Nguyên văn bởi vietwow
Sorry anh em, ḿnh newbie nên c̣n "gà", có ǵ mong anh em thông cảm đúng là ko liên quan binary
Đúng là em nhầm, nhưng v́ thật sự em có đọc 1 số tut IAT ko hề tác động đến phần cấu trúc PE file luôn và code viết đơn giản hơn code lọai của bác benina, để hôm nào lục lại rồi post lên cho mọi người xem |
Cậu tham khảo tut nè "Understanding RVAs and Import Tables" có trên http://nhatphuongle.spaces.live.com
kết hợp với cái tut của anh bebina IATHooking hi vọng sẽ giúp ích được cậu.
Hì còn mình vẫn thích đi từ cơ bản lên
__________________
air!
Lần sửa cuối bởi airsport; 03-10-2010 lúc 01:30 AM
|
| Công cụ bài viết |
|
|
| Kiểu hiển thị |
 Dạng hẹp
|
Quyền viết bài
|
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
HTML đang Tắt
|
|
|
| Quảng cáo
|
