[TUT] Hooking EAT/IAT

Krycho · 4 Lutego 2013

Tut mozna zobaczyc na moim blogu. Będzie to dłuzsza seria. Nie będzie podawała gotowegu kodu, a jedynie ogólną koncepcję z fragmentami kodów i wytłumaczeniem tak żeby można było w miarę zrozumieć o co chodzi.

Jest tam 1 haczyk związany z IAT, ponieważ wyciągnięcie tablicy importów wygląda minimalnie inaczej(inne struktury). Dodam jeśli będzie trzeba.

Na razie 1 część w celu zapoznania się z budową i podstawami, żeby nie robić czegoś o czym nie mamy pojęcia jak działa.

Hook EAT/IAT

Dla nie wiedzących, bo nie wyjaśniłem. EAT - Export Address Table, IAT - Import Address Table

Ravv · 5 Lutego 2013

No nie powiem, ładnie

Heniut · 5 Lutego 2013

Tworzenie break pointa w przypadku gdy: jesteśmy dll wstrzykniętą w proces, założyliśmy hook (MS Detours 1.5, ale to nie jest istotne), lecz jakaś funkcja z procesu sprawdza naszego hooka (czy istnieje etc.), a my chcemy, założyć BP, aby dowiedzieć się z jakiego adresu jest odczytywana nasza funkcja

Krycho · 5 Lutego 2013

Pisz po polsku bo kompletnie nie wiadomo o co Ci chodzi.

Krycho · 12 Lutego 2013

Kolejna porcja danych Przykladowe zalozenie hooka na tablice EAT i sprawdzenie dzialania.

Hook EAT: Przyklad

@Heniut

W przypadku biblioteki MS Detours hooki zakladane sa przez zwykly jmp patch na "kopii" adresu funkcji, co jest bardzo latwe do wykrycia. Podmieniajac adresy bezposrednio z miejsca z ktorego te funkcje sa importowane możemy to latwiej ominac, choc sa sposoby na wykrycie tego oczywiscie.

TheHunterPL333 · 12 Marca 2013

Nowy komputer

402V · 14 Marca 2013

Gram w metina 1

Zaloguj się

👋 Witaj na MPCForum!

[TUT] Hooking EAT/IAT

Rekomendowane odpowiedzi

Krycho

Krycho

Ravv

Ravv

Heniut

Heniut

Krycho

Krycho

Krycho

Krycho

TheHunterPL333

TheHunterPL333

402V

402V

Zarchiwizowany