CFF Explorer 查看/修改PE文件資源
使用CFF Explorer可以查看和修改PE文件的資源,可以查看dll文件可供調(diào)用的函數(shù)��,修改函數(shù)入口地址達(dá)到制造崩潰屏蔽功能的目的���。CFF Explorer具有類似DEPENDS的依賴分析功能/hex編輯器/快速反匯編等功能�,詳見下圖:
PE(Portable Execute)文件被稱為可移植的執(zhí)行體����,常見的EXE���、DLL、OCX�、SYS、COM都是PE文件���,PE文件是微軟Windows操作系統(tǒng)上的程序文件(可能是間接被執(zhí)行����,如DLL)
Windows 7下實(shí)現(xiàn)API HOOK的方法
關(guān)于API HOOK,就是截獲API調(diào)用的技術(shù)���,在對(duì)一個(gè)API調(diào)用之前先執(zhí)行自己設(shè)定的函數(shù),根據(jù)需要可以再執(zhí)行缺省的API或者進(jìn)行其他處理����,假設(shè)如果想截獲一個(gè)進(jìn)程對(duì)網(wǎng)絡(luò)的訪問�����,一般是幾個(gè)socket api:recv,recvfrom, send, sendto等等,當(dāng)然你可以用網(wǎng)絡(luò)抓包工具����,這里只介紹通過API HOOK的方式來實(shí)現(xiàn),最基本的有兩種方法:1.修改原函數(shù)的入口地址,就是修改PE文件輸入函數(shù)地址表 2.不改變函數(shù)輸入表��,修改函數(shù)最開始的內(nèi)存數(shù)據(jù),增加JMP語句跳轉(zhuǎn)到自己的函數(shù)�����,執(zhí)行完后再恢復(fù)內(nèi)存數(shù)據(jù).
使用JMP語句的方法是比較靈活的���,所以通過API CreateRemoteThread 可以把自己的DLL注入到另一個(gè)進(jìn)程��,然后再使用JMP方法來實(shí)現(xiàn)API的截獲,這種技術(shù)的另一個(gè)用處就是隱藏進(jìn)程�����,很多病毒木馬也是利用這個(gè)技術(shù)來隱藏自己�����,很難被發(fā)現(xiàn)和清除�。
但是通過 CreateRemoteThread 注入DLL的技術(shù)在Win7系統(tǒng)中已經(jīng)不能簡單的使用了����,Win7系統(tǒng)在很多方面都加強(qiáng)了安全性,限制了很多的API的調(diào)用,那么如何簡單的來做到DLL注入和API HOOK呢?這里就要介紹一個(gè)大名鼎鼎的工具:CFF Explorer���,是Explorer Suite()中的一個(gè)工具 用于PE文件的修改�,同時(shí)也可以對(duì)原PE文件增加函數(shù)輸入表,我們只要寫好一個(gè)DLL文件,然后實(shí)現(xiàn)一個(gè)導(dǎo)出函數(shù)�����,就可以用這個(gè)工具對(duì)PE文件增加對(duì)自己的DLL的加載,下面這個(gè)操作就是讓notepad.exe加載rand.dll的操作:
只要Rebuild Import Table,然后再Save/Save As就可以保存新的文件����。這樣你的dll就自動(dòng)的被加載了,然后再DLL加載的時(shí)候?qū)崿F(xiàn)API HOOK就在功告成了���。
使用這個(gè)技術(shù)可以做很多“壞事”�,比如剛才提到的截獲進(jìn)程的網(wǎng)絡(luò)收發(fā)數(shù)據(jù)����,還有就是對(duì)軟件的破解或者去時(shí)除限制,舉例:假設(shè)一個(gè)軟件是試用軟件�����,試用7天�,最笨的辦法就是改本機(jī)時(shí)間�����,但如果用API HOOK技術(shù)就可以很容易做到,可以先用CFF Explorer或者Dependency查看一下該軟件是調(diào)用 哪個(gè)函數(shù)來獲取系統(tǒng)當(dāng)前時(shí)間的�,假如是GetLocalTime函數(shù),那么我就可以截獲GetLocalTime,返回一個(gè)永不過期的時(shí)間�����,然后利用CFF Explorer把自己的DLL增加到軟件的函數(shù)導(dǎo)入表��,這樣不用改系統(tǒng)時(shí)間就去除了軟件的試用期限�����。
鄭重提示:利用API HOOK可以做很多你想做的事情���,但我覺得自己研究使用可以�,千萬不要去傳播或者謀取利益����,否則后果很嚴(yán)重的。
