我想重定向来自系统dll的真实函数调用的函数调用。我正在使用portable-executable,我可以获得系统dll的IAT(advapi32.dll),这里函数地址调用系统内存地址,我想重定向到我指定的地址..它可以吗?....
答案 0 :(得分:2)
这取决于。您想跨系统还是针对特定流程进行操作? 你想预编辑文件(如果是这样的话 - dll或可执行文件)?或者你想在运行时挂钩(动态代码注入)?
代码项目中有一些很好的起点:
http://www.codeproject.com/KB/system/hooksys.aspx
http://www.codeproject.com/KB/threads/winspy.aspx
但这是一个广泛的主题,所以你可能需要提出更具体的问题。
这些技术可能被滥用(特别是使用advapi32),所以我强烈建议你不要这样做。
答案 1 :(得分:1)
使用Deviare API Hook并使用10行代码。