Ktl-icon-tai-lieu

IAT Hooking - Benina

Được đăng lên bởi hoan1605
Số trang: 19 trang   |   Lượt xem: 336 lần   |   Lượt tải: 0 lần
IAT Hooking - Benina

1

IAT HOOKING
Tác giả: BENINA
(REA TEAM)

Tuts fashion 2010 by Rootbiez.tk ver 1.0 .

2

IAT Hooking - Benina

IAT Hooking
Author: Benina 2010 (REA team)
My blog: 

A.LỜI NÓI ĐẦU
IAT Hooking là một kỹ thuật hook hàm API. Tôi có tìm trên mạng một số source code nhưng
không rõ ràng lắm. Vì vậy tôi quyết ñịnh viết tut này chủ yếu ñể làm rõ cho những ai còn lờ mờ
chưa thực hiện ñược kỹ thuật này. Bài viết tôi không viết kỹ chi tiết về lý thuyết. Chủ yếu là ñề xuất
cho bạn một ví dụ source code, ñể các bạn tham khảo thực hiện. Vì vậy tôi có sử dụng lại một số
nội dung trong các bài viết của các tác giả khác. Mong các bạn thông cảm vì thực sự tôi ko có thời
gian nhiều. Khi nào rãnh sẽ trao chuốc lại tut này. Code ví dụ bài viết này chủ yếu dựa vào bài tut
rất nổi tiếng: “Technics of hooking API functions on Windows” của Holy_Father
<holy_father@phreaker.net>.

B.MỘT SỐ KIẾN THỨC CẦN BIẾT
BI-Khái niệm về PE file, và IAT.
Bạn phải hiểu rõ IAT là gì và dùng ñể làm gì, và PE file ñược Windows load lên memory ra
sao khi bạn muốn hiểu hết hoàn toàn bài viết này.
Tài liệu tiếng Việt các bạn có thể tham khảo:
- Tutorial 6: Import Table của Iczelion (loạt tut PE này tôi ñã dịch trong project vnasm, hiện nay ñã
chỉnh sửa hoàn chỉnh nhưng chưa public).
- Tutorial 0 : General PE files do benina viết ()
- PE tutorial do Kienmanowar dịch (tìm trên )
- [Giới thiệu] Cấu trúc PE Header của Fire Dragon ()
- Understanding RVAs and Import Tables của NhatPhuongLe ()
- Working manually with Import Tables do TOOLCRACKING dịch ()
Sau ñây là một vài kiến thức nhắc lại cho bạn nhớ, nó sẽ không ñầy ñủ:
Trước tiên, bạn sẽ biết một hàm import function là cái gì. Một import function là một hàm mà nó ko
ở trong module gọi hàm (caller's module) nhưng ñược gọi sử dụng bởi module này, vì vậy mới có
tên là “nhập khẩu” (import). Các import functions thực chất cư trú trong một hoặc nhiều DLLs. Chỉ

Tuts fashion 2010 by Rootbiez.tk ver 1.0 .

3

IAT Hooking - Benina
có thông tin về các hàm mới ñược lưu giữ trong module gọi hàm. Các thông tin bao gồm tên hàm
(function names) và các names of DLLs là nơi cư trú của chúng.
IAT là Import Address Table (bảng ñịa chỉ hàm nhập khẩu), là bảng lưu trữ các thông tin của các
hàm import function mà module gọi hàm sử dụng.
Theo ñịnh dạng PE file, Data directory là một array of cấu trú...
IAT Hooking - Benina
1
Tuts fashion 2010 by Rootbiez.tk ver 1.0
.
IAT HOOKING
Tác gi:
BENINA
BENINABENINA
BENINA
(REA TEAM)
(REA TEAM)(REA TEAM)
(REA TEAM)
IAT Hooking - Benina - Trang 2
Để xem tài liệu đầy đủ. Xin vui lòng
IAT Hooking - Benina - Người đăng: hoan1605
5 Tài liệu rất hay! Được đăng lên bởi - 1 giờ trước Đúng là cái mình đang tìm. Rất hay và bổ ích. Cảm ơn bạn!
19 Vietnamese
IAT Hooking - Benina 9 10 861