DLL 注入后拦截 BIG 应用程序执行

Question

我必须在很多地方拦截非常大的应用程序的执行。

我可以使用哪些程序来执行此操作？有什么技术可以解决这个问题？

手动逆向工程和添加钩子可能不是这个问题的最佳解决方案，因为应用程序非常大，应用程序的某些部分可以在一段时间内更新，我认为有一些对于这个问题的工具或良好实践我可以更快地做到这一点，有人知道该怎么做吗？

有人帮助我吗？

Answer 1

既然已经介绍了工具部分，那么这里是技术部分。

根据您需要挂钩的内容以及是否有保护，有几种方法：

1. 虚拟化二进制文件中的相对调用/jmp 修补：这是最简单的，但如果可以的话也需要做很多工作不会自动查找对函数的所有引用，由于您的条件，这可能不会在这种情况下工作。

2. IAT/EAT 挂钩：这用于导入 (IAT) 和导出 (EAT)，如果您的目标是一组已知的导入/导出 API 函数，则非常有用。一个很好的例子可以在此处或此处

3. 热修补：Windows XP SP2 引入了一种称为“热修补”的功能（用于实时系统功能更新），其中所有（WinAPI）功能均以“mov edi,edi”开头，允许将相对跳转修补到每个可热修补功能之上创建的可用空间（也可以做到）。这通常用于对 IAT 进行校验或具有其他有趣形式的保护的程序，可以找到更多信息 此处 和此处 >

4. Code-Caving：通过在任意代码空间中放置重定向来捕获执行流。请参阅此处，此处 或 此处

5. VFT/COM 重定向：基本上覆盖对象虚拟函数表中的条目，对于基于 OOP/COM 的应用程序很有用。请参阅此

有很多 3rd 方库，最著名的可能是MS Detours，也可以看看APIHijack 或 迷你钩子引擎。

当然，没有什么可以替代您需要使用像 ollydbg 这样的调试器进行的初始测试，但要了解该方法你将使用的可以大大缩短他们花在闲逛上的时间

Answer 2

关于您到底需要做什么的一些详细信息（例如，您如何确定在哪里中断）会很好。根据您的情况，Pin 之类的内容可能会起作用。

Answer 3

我建议使用 Deviare API Hook。这是您完成所需任务的最简单方法。它有一些 COM 对象，可用于从不同的进程挂钩应用程序。在您的过程中，您可以获得完整的参数信息，并且可以在任何编程语言中使用它（我使用的是 C#，它的工作方式就像一个魅力）。
如果您需要拦截注册表 API，我建议使用 Deviare 来调试您需要拦截的内容，但随后您必须制作自己的钩子，否则，您会发现性能问题。

Answer 4

如果您对拦截方法调用感兴趣，可以进行 API Hooking。

或者使用一些反汇编程序，例如 Softice 或 ollydbg 或 win32dasm。