15,471
社区成员
发帖
与我相关
我的任务
分享多进程注入,拦截API的问题
用detours库编写重定向API DLL,
然后EXE程序,遍历进程,使用CreateRemoteThread 进行注入DLL,这样可以顺利截获到API,
但是现在自己想实现 多进程的注入,不知道CreateRemoteThread是否管用,
现在自己最大的困惑在于,比如我拦截send函数。
注入了多个进程,这些进程都进行了send,我如何能够区分每次回调的send是哪个进程的?
不吝赐教。
然后EXE程序,遍历进程,使用CreateRemoteThread 进行注入DLL,这样可以顺利截获到API,
但是现在自己想实现 多进程的注入,不知道CreateRemoteThread是否管用,
现在自己最大的困惑在于,比如我拦截send函数。
注入了多个进程,这些进程都进行了send,我如何能够区分每次回调的send是哪个进程的?
不吝赐教。
...全文
请发表友善的回复…
发表回复
神农氏 2011-11-01
- 打赏
- 举报
进程ID-Socket map 是必须的,呵呵。
你需要截获Socket的创建函数,函数中调用系统函数获得当前进程的id。
由于我用的是Mac电脑,不能帮你试验了。
你需要截获Socket的创建函数,函数中调用系统函数获得当前进程的id。
由于我用的是Mac电脑,不能帮你试验了。
chenjiawei007 2011-11-01
- 打赏
- 举报
谢谢楼上的提供思路,
我想实现的功能是分析不同进程的数据包,
当我HOOK住socket api后,分析数据包,根据不同的数据包内容,对不同的进程进行不同的操作。
我看看是否有办法,先建立一张 进程ID--SOCKET MAP表。
我想实现的功能是分析不同进程的数据包,
当我HOOK住socket api后,分析数据包,根据不同的数据包内容,对不同的进程进行不同的操作。
我看看是否有办法,先建立一张 进程ID--SOCKET MAP表。
神农氏 2011-11-01
- 打赏
- 举报
你是想拦截socket函数吧。
如果是的话,你不必要区分进程,你可以从send的传入参数中取得socket的指针。并以此区分。
如果是的话,你不必要区分进程,你可以从send的传入参数中取得socket的指针。并以此区分。
chenjiawei007 2011-11-01
- 打赏
- 举报
哈哈,明白了,3Q~~结贴了。
