我正在使用Cuckoo Sandbox进行恶意软件分析。作为我工作的一部分,我需要挂接可执行文件进行的API调用,以完成更多工作。
我的初步研究建议我使用Windows Detours或mhook。他们两个都使用内联钩子。他们会覆盖traget函数的前几个字节,并用跳远指令替换为蹦床函数。
但是问题在于,Cuckoo Sandbox还使用内联挂钩,并且还会覆盖函数的前几个字节来创建挂钩。
在开始编写钩子之前,我的问题是在Cuckoo Sandbox钩子存在的情况下我的钩子是否可以工作,还是Cuckoo钩子会覆盖我的钩子。在布谷鸟沙盒挂钩的情况下,我是否可以完全挂钩?