DLL依赖查看神奇CFF Explorer
CFF Explorer是一款优秀的PE资源工具,使用CFF Explorer可以方便地查看和编辑PE(EXE/DLL)资源,类似PE资源工具有eXeScope、ResHacker等。
使用CFF Explorer可以查看和修改PE文件的资源,可以查看dll文件可供调用的函数,修改函数入口地址达到制造崩溃屏蔽功能的目的。CFF Explorer具有类似DEPENDS的依赖分析功能/hex编辑器/快速反汇编等功能,详见下图:
PE(Portable Execute)文件被称为可移植的执行体,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
Windows 下实现API HOOK的方法
关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket api:recv,recvfrom, send, sendto等等,当然你可以用网络抓包工具,这里只介绍通过API HOOK的方式来实现,最基本的有两种方法:1.修改原函数的入口地址,就是修改PE文件输入函数地址表 2.不改变函数输入表,修改函数最开始的内存数据,增加JMP语句跳转到自己的函数,执行完后再恢复内存数据.
使用JMP语句的方法是比较灵活的,所以通过API CreateRemoteThread 可以把自己的DLL注入到另一个进程,然后再使用JMP方法来实现API的截获,这种技术的另一个用处就是隐藏进程,很多病毒木马也是利用这个技术来隐藏自己,很难被发现和清除。
但是通过 CreateRemoteThread 注入DLL的技术在Win系统中已经不能简单的使用了,Win系统在很多方面都加强了安全性,限制了很多的API的调用,那么如何简单的来做到DLL注入和API HOOK呢?这里就要介绍一个大名鼎鼎的工具:CFF Explorer,是Explorer Suite(http://www.ntcore.com/)中的一个工具 用于PE文件的修改,同时也可以对原PE文件增加函数输入表,我们只要写好一个DLL文件,然后实现一个导出函数,就可以用这个工具对PE文件增加对自己的DLL的加载,下面这个操作就是让notepad.exe加载rand.dll的操作:
只要Rebuild Import Table,然后再Save/Save As就可以保存新的文件。这样你的dll就自动的被加载了,然后再DLL加载的时候实现API HOOK就在功告成了。
使用这个技术可以做很多“坏事”,比如刚才提到的截获进程的网络收发数据,还有就是对软件的破解或者去时除限制,举例:假设一个软件是试用软件,试用7天,最笨的办法就是改本机时间,但如果用API HOOK技术就可以很容易做到,可以先用CFF Explorer或者Dependency查看一下该软件是调用 哪个函数来获取系统当前时间的,假如是GetLocalTime函数,那么我就可以截获GetLocalTime,返回一个永不过期的时间,然后利用CFF Explorer把自己的DLL增加到软件的函数导入表,这样不用改系统时间就去除了软件的试用期限。
郑重提示:利用API HOOK可以做很多你想做的事情,但我觉得自己研究使用可以,千万不要去传播或者谋取利益,否则后果很严重的。
DLL依赖查看神奇CFF Explorer相关推荐
- dll依赖查看工具Depends
Depends是一款很实用的vc反编译软件,主要用于查看dll或exe依赖的dll或导入/导出函数.仅限于win7及以下环境使用,目前已停止更新,最新版2.2.6000. 官网地址:http://ww ...
- CFF Explorer 查看/修改PE文件资源
CFF Explorer 查看/修改PE文件资源 本文摘录于:https://www.jb51.net/softjc/514548.html这里只是做学习备份之用,绝无抄袭之意,如果作者觉得有所不妥请 ...
- Windows查看文件占用情况、查看程序的dll依赖项
"人生若只如初见,何事秋风悲画扇?等闲变却故人心,却道故人心易变." 文章目录 一.查看文件占用情况 1.资源监视器(系统自带) 2.Handle.exe(Sysinternals ...
- Windows平台如何查看一个dll依赖的其他dll
好多开发者在做windows开发的时候,容易遇到dll依赖的问题,VS自带一个小工具dumpbin, 这个工具挺好用,可以查看dll相关依赖库,还可以看dll导出接口. 下面演示下查依赖库用法: 运行 ...
- Dll依赖与被依赖关系查看工具【1】
[1]工具主界面 [2]工具的功能介绍 2.1 查看Dll依赖的Dll列表(一级关系,如果依赖的Dll不在该目录下,则不显示到右侧) 如: 选择Dll的目录,软件自动获取该目录的Dll列表,并显示到左 ...
- 仿微软进程管理器+仿Cff explorer 进程PE查看软件
这个软件是仿微软的进程管理器 结合 仿CFF Explorer pe查看工具,可以直接点击进程列表中的进程查看对应的pe结构,动手开始做才发现写练习的demo和做项目还是有很大区别的,遇到了很多问题, ...
- CFF Explorer实现Windows 7下API HOOK
关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket ...
- python调用dll依赖项
python调用多依赖库dll报错[WinError 126] 找不到指定的模块 原文:https://blog.csdn.net/Kelvin_Yan/article/details/8600893 ...
- CFF Explorer 介绍
CFF Explorer 介绍 https://cloud.tencent.com/developer/article/1802803
最新文章
- 加大基础研究投入 给科技创新注入“强心剂”
- php include效率分析
- ASP.NET MVC视图引擎SPARK文档中文版
- 线程故事:Web应用程序中的ThreadLocal
- ios实践之tableView顶部“弹簧”图片
- Docker基本概念与实践(四)-部署简单web项目(tomcat+war+mysql)
- 【协同任务】基于matlab二阶一致性算法多无人机协同编队动态仿真【含Matlab源码 1740期】
- weex官方demo weex-hackernews代码解读(上)
- fragstats移动窗口
- Python 100例
- 集体心智:社会网络拓扑塑造集体认知
- 使用ssh正向连接、反向连接、做socks代理的方法
- 【嵌入式Linux学习七步曲之第五篇 Linux内核及驱动编程】Linux信号机制分析
- 在日本生活是什么体验
- 攻击法国海军病毒Conficker在中国网络同步蔓延
- 《如何有效阅读一本书:超实用笔记读书法》读书笔记
- 安装 Samba 网络共享服务, 可以通过网络访问我们指定的文件夹
- python股票指标计算库_GitHub - unclevicky/stock: stock,股票系统。使用python进行开发。...
- 使用Java压缩文件生成各种zip包总结(整理为工具类版)
- 华为手机教程 线刷 华为手机救砖 高维禁用UPDATE.APP 解包 刷机教学 教程
热门文章
- jQuery与javascript库
- a标签中调用js的方法
- PHP浮点数的一个常见问题的解答
- php 生成性格图片,PS制作个性文字人物图像教程
- 【科普】通过西方人的姓名判断血统国籍
- Oracle创建同义词及dblink
- android ios av tv,iOS AVPlayer 实现后台连续播放视频
- 虚拟主机cpanel面板安装thinktp,更改根目录
- HDX工作模式SECS协议工业低频RFID读写器|读卡器CK-S610-SE硬件接线方法与选择
- 台达,AS228T,plc程序模板和触摸屏程序模板,目前6个总线伺服,采用CANOPEN,适用于运动轴控制,程序可以在自动的时候暂停进行手动控制