我知道嗅探器,我可以使用 win32 调试 api 编写一个。但是在这里我想找到可执行文件的入口并在那里注入代码。调试api可以做到这一点吗?或者任何其他处理代码的方式,而不是像 olly 这样的工具。
问问题
344 次
1 回答
1
您需要查看 Portable Executable 文件格式并理解它,这里有一些资源可以帮助您入门:
- http://msdn.microsoft.com/en-us/library/ms809762.aspx
- http://msdn.microsoft.com/en-us/magazine/cc301805.aspx
- http://msdn.microsoft.com/en-us/magazine/cc301808.aspx
- http://tuts4you.com/download.php?view.235
- http://net.pku.edu.cn/~course/cs201/2003/mirrorWebster.cs.ucr.edu/Page_TechDocs/pe.txt - 这个特别有用。
供您使用,AddressOfEntryPoint 指针可以位于 IMAGE_OPTIONAL_HEADER 结构中,该结构位于 IMAGE_FILE_HEADER 结构中,它是要执行的第一条指令的 RVA(相对虚拟地址)。如果要从一开始就转移执行流程,则需要将此字段中的值更改为新的 RVA,然后将首先执行新 RVA 处的指令。
于 2012-11-28T06:56:12.417 回答