我知道嗅探器,我可以使用win32 debug apis编写一个。但在这里,我想找到可执行文件的entypoint并在那里注入代码。调试apis可以实现吗?或任何其他方式处理代码,而不是像olly这样的工具。
答案 0 :(得分:1)
您需要查看可移植可执行文件格式,并了解它, 以下是一些帮助您入门的资料来源:
对于您的使用,AddressOfEntryPoint指针可以位于IMAGE_OPTIONAL_HEADER结构中,该结构位于IMAGE_FILE_HEADER结构中,它是要执行的第一条指令的RVA(相对虚拟地址)。如果要从一开始就转移执行流程,则需要将此字段中的值更改为新的RVA,并且将首先执行新RVA中的指令。