关于PYG劫持工具的求助
本帖最后由 东方青石 于 2019-1-27 19:41 编辑今天练习第一次试用PYG劫持工具,也看了论团里的视频教程等。但仍对工具有疑问,盼坛友解决。就是实时基址及HOOK API问题。
问题来由:
我练习的软件是用EXE加载DLL的方式,验证代码全部在DLL中,EXE无需补丁。我使用工具时,设置目标1为exe,目标2为该DLL,并勾选 补丁DLL/ocx等附属文件选项,目标DLL设置成改加载DLL.
问题一:现在我设置实时基址,这个基址是指EXE的还是DLL的?我现在理解是DLL的
问题二:所谓API HOOK时机是不是应该时DLL文件加载后HOOK某个函数?还是HOOK exe中的某个API。教程均是对EXE补丁,所以在此一问。
这个基址是指要补丁的程序,你的这种情形是dll,hook api 实际就是控制补丁的时机,这个得具体分析,没有一个固定模式 本帖最后由 东方青石 于 2019-1-28 09:41 编辑
不破不立 发表于 2019-1-27 20:56
这个基址是指要补丁的程序,你的这种情形是dll,hook api 实际就是控制补丁的时机,这个得具体分析,没有一 ...
嗯,我理解就是这样,像我这情况,在loadlib 之前DLL没加载,这个时候去HOOK补丁应该是不能实现的。但每次加载DLL后DLL模块基地址都不一样(exe的基地址不变),这个时候如何HOOK,找了很久也没找到load之后有效的API函数。我这情况的操作是否不对
exe加载用户DLL,用户dll通常会重定位,所以建议不要到系统中去找dll的基地址,要找RVA(偏移地址)。 ljhljf 发表于 2019-2-22 15:17
exe加载用户DLL,用户dll通常会重定位,所以建议不要到系统中去找dll的基地址,要找RVA(偏移地址)。
RVA也应该是针对DLL的模块基址吧?
东方青石 发表于 2019-3-3 19:13
RVA也应该是针对DLL的模块基址吧?
是针对dll基址的偏移
ljhljf 发表于 2019-3-3 21:09
是针对dll基址的偏移
昨天试了几次bymax和PYG的工具,两种方法的补丁都不能正常补丁。 感谢楼主的分享
页:
[1]