CFF Explorer 查看/修改PE文件资源
CFF Explorer是一款优秀的PE资源工具,使用CFF Explorer可以方便地查看和编辑PE(EXE/DLL)资源,类似PE资源工具有eXeScope、ResHacker等。
- 软件名称:
- PE工具 CFF Explorer v 8.0 汉化绿色版
- 软件大小:
- 3MB
- 更新时间:
- 2016-11-30
使用CFF Explorer可以查看和修改PE文件的资源,可以查看dll文件可供调用的函数,修改函数入口地址达到制造崩溃屏蔽功能的目的。CFF Explorer具有类似DEPENDS的依赖分析功能/hex编辑器/快速反汇编等功能,详见下图:
PE(Portable Execute)文件被称为可移植的执行体,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
Windows 7下实现API HOOK的方法
关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket api:recv,recvfrom, send, sendto等等,当然你可以用网络抓包工具,这里只介绍通过API HOOK的方式来实现,最基本的有两种方法:1.修改原函数的入口地址,就是修改PE文件输入函数地址表 2.不改变函数输入表,修改函数最开始的内存数据,增加JMP语句跳转到自己的函数,执行完后再恢复内存数据.
使用JMP语句的方法是比较灵活的,所以通过API CreateRemoteThread 可以把自己的DLL注入到另一个进程,然后再使用JMP方法来实现API的截获,这种技术的另一个用处就是隐藏进程,很多病毒木马也是利用这个技术来隐藏自己,很难被发现和清除。
但是通过 CreateRemoteThread 注入DLL的技术在win7系统中已经不能简单的使用了,win7系统在很多方面都加强了安全性,限制了很多的API的调用,那么如何简单的来做到DLL注入和API HOOK呢?这里就要介绍一个大名鼎鼎的工具:CFF Explorer,是Explorer Suite(http://www.ntcore.com/)中的一个工具 用于PE文件的修改,同时也可以对原PE文件增加函数输入表,我们只要写好一个DLL文件,然后实现一个导出函数,就可以用这个工具对PE文件增加对自己的DLL的加载,下面这个操作就是让notepad.exe加载rand.dll的操作:
只要Rebuild Import Table,然后再Save/Save As就可以保存新的文件。这样你的dll就自动的被加载了,然后再DLL加载的时候实现API HOOK就在功告成了。
使用这个技术可以做很多“坏事”,比如刚才提到的截获进程的网络收发数据,还有就是对软件的破解或者去时除限制,举例:假设一个软件是试用软件,试用7天,最笨的办法就是改本机时间,但如果用API HOOK技术就可以很容易做到,可以先用CFF Explorer或者Dependency查看一下该软件是调用 哪个函数来获取系统当前时间的,假如是GetLocalTime函数,那么我就可以截获GetLocalTime,返回一个永不过期的时间,然后利用CFF Explorer把自己的DLL增加到软件的函数导入表,这样不用改系统时间就去除了软件的试用期限。
郑重提示:利用API HOOK可以做很多你想做的事情,但我觉得自己研究使用可以,千万不要去传播或者谋取利益,否则后果很严重的。
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10
相关文章
- blender2.9怎么快速建模一颗树苗? blender树的建模技巧
- mumu模拟器内存太小怎么办?网易mumu模拟器怎么扩大内存?
- 爱剪辑如何单独截取视频片段将精彩的部分截取出来
- excel单元格为空时怎么显示我们的警示标志防止漏掉数据
- 酷狗桌面写真在哪?怎么开启?
- myeclipse创建spring配置文件正确却显示红叉该怎么办?
- 2345浏览器怎么设置才能保护视力?2345浏览器护眼模式使用方法
- CAD怎么设置全自动批量打印或转成PDF文档?CAD设置全自动批量打印或转成PDF文档方法
- 苹果手机怎么样恢复微信聊天记录【详解介绍】
- Pr怎么将视频倒放、回放?premiere视频倒放回放教程
- 64位系统怎么安装32位的CAD2008
- 视频转gif软件ILike Video to GIF Converter安装及激活教程(附激活补丁+软件下载)
- DiskGenius怎么激活?DiskGenius激活使用详细图文教程
- excel中code函数有什么作用?code函数使用方法介绍
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2020年8月 ISO镜像高速下载
- 2电脑公司Ghost Win7 x64 Sp1中秋特别 装机万能版2021年9月(64位) ISO镜像免费下载
- 3电脑公司Ghost Win8.1 X64位 六一节 纯净版2022年6月(自动激活) ISO镜像快速下载
- 4电脑公司Ghost Win8.1 x32 精选纯净版2022年4月(免激活) ISO镜像高速下载
- 5笔记本系统Ghost Win8.1 (32位) 极速纯净版2020年8月(免激活) ISO镜像高速下载
- 6番茄花园 Windows 10 官方企业版 2020年6月(64位) ISO高速下载
- 7华硕笔记本&台式机专用系统 GhostWin7 32位旗舰版2018年5月(32位) 好用下载
- 8新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2021年10月(32位) ISO镜像高速下载
- 9深度技术 Ghost Win7 x64 Sp1 电脑城纯净版2021年10月(64位) ISO镜像高速下载
- 10电脑公司Ghost Win8.1 x64 多驱动纯净版2018年7月(激活版) 最新版ISO镜像下载