如何修改驱动程序iat表

楼主^#

更多发布于：2007-02-25 18:06

我们知道pe文件有输入表（IAT）, 应用层的可运行程序和驱动程序都是pe格式的。

应用层加壳去壳技术中经常用到修改IAT技术完成HOOK，这方面的技术可以到看雪论坛，那里有这方面的技术介绍。

驱动程序既然是PE文件，也可以修改IAT，完成KERNEL的FUNCTION HOOK。但是驱动程序由一个特点是在完成驱动LOAD后，会清空输入数据，那么该如何修改IAT呢？

方法：可以读取磁盘上的导出FUNCTION的文件，获取导出FUNCTION的RAV，然后修正驱动程序中的IAT表相应的FUNCTION地址,完成HOOK技术。

喜欢0

走走看看开源好 Solaris vs Linux

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

沙发^#

发布于：2007-02-25 18:54

hehe~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

如何修改驱动程序iat表

最新喜欢：