如何hook没有导出功能的Native进程？

Question

我需要解决本机进程的逆向工程问题。 我有非托管 .exe，上面有一些控件（例如 TextBox、Buttons、TextAreas、ComboBoxes）。填写控件上的所有数据后，用户将按“打开”。

实际上它会打开调制解调器端口并发送 AT 命令。我想检查数据的格式以及它将发送到调制解调器 COM 端口的消息。

所以我需要如何对过程进行逆向工程并挂钩函数（最有可能是“打开”调制解调器端口的函数，当用户单击“打开”时，它将被调用）。

建议？？我的方向是正确的，我是否需要挂钩它的功能，然后注入后，我的目标就会实现。

注意：

未检测到 EXPORTED 函数。我为此使用了 CFF/PE Explorer。

问候 乌斯曼

Answer 1

我看到两种可能性。一种方法是将显示器连接到 com 端口，然后看看那里会出现什么。这完全避免了代码的 RE，并且通常会更快更容易。

[编辑：有两种形式：一种是硬件——连接到 COM 端口硬件的逻辑分析仪（或类似的东西）。它在串行数据流通过线路时对其进行解码并显示。另一种形式是使用 IAT 挂钩对 WriteFile 的调用的软件，并显示打开了哪些文件以及向每个文件写入了哪些数据。 Microsoft Detours 库对此很有帮助。]

如果您决定 RE无论如何，您可能需要一个像样的反汇编程序，例如 IDAPro。您可能能够从调用CreateFile和WriteFile的地方开始找到处理COM端口的部分（假设您'正在处理 Win32，基于“PE”的提及）。您可能会在某个地方有类似“\\.\COM”（或至少是“COM”）的文字字符串，并且您需要找到对使用该字符串的 CreateFile 的调用（或其副本）。

从这里开始，您必须向后查找将实际写入 COM 端口的字符串组合在一起的代码。但很难猜测这会有多复杂。

Answer 2

OllyDbg 可以帮助你。您还需要一些汇编语言和调用约定的基本知识。当然还有安装拦截器功能的原理（走弯路）。