Il y a quelques temps, j avais publié sur le blog la technique de l IAT Hook qui permettait de détourner l appel d une fonction via la table d importation. Mais cela a ses limites: si vous posez un hook après que le programme ai récupéré l adresse de la fonction, cela ne fonctionnera pas. De même si le programme a utilisé GetProcAddress. Ici, nous changeons donc de tactique: plutô t que de modifier l adresse de la fonction, nous allons modifier le code de la fonction pour la faire sauter via l instruction JMP (0xE9) sur notre fonction. Pour ce faire, j ai donc dû calculer la taille des instructions et j ai donc utilisé le projet x86ime.

Release
.......\x86.exe
.......\x86.pdb
.......\_virus.txt
x86
...\main.c
...\Release
...\.......\CL.read.1.tlog
...\.......\CL.write.1.tlog
...\.......\link.read.1.tlog
...\.......\link.write.1.tlog
...\.......\main.obj
...\.......\mt.read.1.tlog
...\.......\mt.write.1.tlog
...\.......\vc100.pdb
...\.......\x86.Build.CppClean.log
...\.......\x86.exe.intermediate.manifest
...\.......\x86.lastbuildstate
...\.......\x86.log
...\.......\x86.write.1.tlog
...\.......\x86im.obj
...\.......\x86im_fmt.obj
...\x86.vcxproj
...\x86.vcxproj.filters
...\x86.vcxproj.user
x86im
.....\x86im.c
.....\x86im.h
.....\x86im_fmt.c
.....\x86im_fmt.h
.....\x86im_gen.h
.....\x86im_io.h
.....\x86im_itbl.h
x86.sln
x86.suo

• We are an exchange download platform that only provides communication channels. The downloaded content comes from the internet. Except for download issues, please Google on your own.
• The downloaded content is provided for members to upload. If it unintentionally infringes on your copyright, please contact us.
• Please use Winrar for decompression tools
• If download fail, Try it againg or Feedback to us.
• If downloaded content did not match the introduction, Feedback to us，Confirm and will be refund.
• Before downloading, you can inquire through the uploaded person information

Nothing．