0%

软件安全 - Hook

前言

最近软件安全开始了动态 Hooking 注入 shellcode的部分。拿到了一份前辈的代码,这里做一些分析与学习。

2020-9-14 记:那个时候是真能挖坑啊……

正文

代码如下。

1
...

补充知识

LUID : 就是指locally unique identifier,我想GUID大家是比较熟悉的,和GUID的要求保证全局唯一不同,LUID只要保证局部唯一,就是指在系统的每一次运行期间保证是唯一的就可以了。

PROCESSENTRY32:用来存放快照进程信息的一个结构体。(存放进程信息和调用成员输出进程信息)用来Process32First指向第一个进程信息,并将进程信息抽取到PROCESSENTRY32中。用Process32Next指向下一条进程信息。

strnicmp 功 能: 比较字符串str1和str2的前n个字符串字典序的大小,但是不区分字母大小写。返回值: 当str1<str2时,返回值是-1 ; 当str1=str2时,返回值是0; 当str1>str2时,返回值是1。比较是这样进行的,先比较两个字符串的第1个字符字典序的大小,如果能比较出大小,则马上返回了,如果不能区别大小,开始比较第2个,如果这时第1个字符串已经到尽头了,第2个字符串还有字符,这时算第2个字符串大。