CFF Explorer 查看/修改PE文件资源

  CFF Explorer 查看/修改PE文件资源

使用CFF Explorer可以查看和修改PE文件的资源,可以查看dll文件可供调用的函数,修改函数入口地址达到制造崩溃屏蔽功能的目的。CFF Explorer具有类似DEPENDS的依赖分析功能/hex编辑器/快速反汇编等功能,详见下图:

  PE(Portable Execute)文件被称为可移植的执行体,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)

  Windows 7下实现API HOOK的方法

  关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket api:recv,recvfrom, send, sendto等等,当然你可以用网络抓包工具,这里只介绍通过API HOOK的方式来实现,最基本的有两种方法:1.修改原函数的入口地址,就是修改PE文件输入函数地址表 2.不改变函数输入表,修改函数最开始的内存数据,增加JMP语句跳转到自己的函数,执行完后再恢复内存数据.

  使用JMP语句的方法是比较灵活的,所以通过API CreateRemoteThread 可以把自己的DLL注入到另一个进程,然后再使用JMP方法来实现API的截获,这种技术的另一个用处就是隐藏进程,很多病毒木马也是利用这个技术来隐藏自己,很难被发现和清除。

  但是通过 CreateRemoteThread 注入DLL的技术在Win7系统中已经不能简单的使用了,Win7系统在很多方面都加强了安全性,限制了很多的API的调用,那么如何简单的来做到DLL注入和API HOOK呢?这里就要介绍一个大名鼎鼎的工具:CFF Explorer,是Explorer Suite(http://www.ntcore.com/)中的一个工具 用于PE文件的修改,同时也可以对原PE文件增加函数输入表,我们只要写好一个DLL文件,然后实现一个导出函数,就可以用这个工具对PE文件增加对自己的DLL的加载,下面这个操作就是让notepad.exe加载rand.dll的操作:



  只要Rebuild Import Table,然后再Save/Save As就可以保存新的文件。这样你的dll就自动的被加载了,然后再DLL加载的时候实现API HOOK就在功告成了。

  使用这个技术可以做很多“坏事”,比如刚才提到的截获进程的网络收发数据,还有就是对软件的破解或者去时除限制,举例:假设一个软件是试用软件,试用7天,最笨的办法就是改本机时间,但如果用API HOOK技术就可以很容易做到,可以先用CFF Explorer或者Dependency查看一下该软件是调用 哪个函数来获取系统当前时间的,假如是GetLocalTime函数,那么我就可以截获GetLocalTime,返回一个永不过期的时间,然后利用CFF Explorer把自己的DLL增加到软件的函数导入表,这样不用改系统时间就去除了软件的试用期限。

  郑重提示:利用API HOOK可以做很多你想做的事情,但我觉得自己研究使用可以,千万不要去传播或者谋取利益,否则后果很严重的。

(0)

相关推荐

  • 如何动态修改win PE文件图标?

    PE文件的图标存储在资源文件中,而操作资源要用到的API函数就是UpdateResource 首先我们需要先了解一下ICO格式,参考资料:http://www.moon-soft.com/progra ...

  • 如何用Iphone5s查看解压文件和阅读修改办公文档

    由于Iphone5s自身是不支持查看解压文件(rar),也不支持阅读.修改Office系列的文件(包括WPS也不支持).那么如何在Iphone5s上实现这些功能呢?下面由我来告诉大家一个方法,希望对大 ...

  • WinPE系统设定如何修改(可通过修改PE注册表或配置文件来实现)

    我们都知道电脑系统有各种各样的系统设定,WinPE也不例外,下面就介绍介绍这方面的知识。 其实这一步主要是指修改PE的注册表,可以直接修改PE注册表,也可以修改配置文件。 1、修改内部注册表的方法: ...

  • 修改PE背景图的方法

    经常使用PE的话看到的都是一个桌面背景,想不想换一下品味呢?下面就来说说最简单的修改PE背景图的方法: 大部分PE的桌面壁纸都在OP.WIM里面的桌面背景目录下,就两个文件:pelogo.jpg和pe ...

  • 修改PE系统设定的2种方法

    一、修改内部注册表的方法。 1、首先将内部注册表的文件提取出来: WXPESYSTEM32CONFIG*.*WXPESYSTEM32SETUPREG.HI_(这是CAB压缩包,将它解开成SETUPRE ...

  • 小技巧修改PE背景图

    经常使用PE的话看到的都是一个桌面背景,想不想换一下品味呢?下面就来说说最简单的修改PE背景图的方法: 大部分PE的桌面壁纸都在OP.WIM里面的桌面背景目录下,就两个文件:pelogo.jpg和pe ...

  • 几个步骤修改PE背景

    经常使用PE的话看到的都是一个桌面背景,想不想换一下品味呢?下面就来说说最简单的修改PE背景图的方法: 大部分PE的桌面壁纸都在OP.WIM里面的桌面背景目录下,就两个文件:pelogo.jpg和pe ...

  • PE文件夹浏览方式如何更换

    是否看腻了WinPe中的文件夹浏览方式,想换一下品味呢?其实只要修改PE注册表即可实现,看看是怎么修改的吧: 用regedit或Registry Workshop挂载DEFAULT,修改注册表[Sof ...

  • 怎么修改PE里面的桌面背景

    怎么修改PE里面的桌面背景 很多朋友都想修改PE里面的桌面背景,下面就为大家来说说实现这一目的的一种方法. U盘大部分PE的桌面壁纸都在OP.WIM里面的桌面背景目录下,就两个文件:pelogo.jp ...