CFF Explorer 查看/修改PE文件资源
CFF Explorer 查看/修改PE文件资源
本文摘录于:https://www.jb51.net/softjc/514548.html这里只是做学习备份之用,绝无抄袭之意,如果作者觉得有所不妥请联系本人,一定妥当处理!同时这里望阅读者查看原文章!
CFF Explorer是一款优秀的PE资源工具,使用CFF Explorer可以方便地查看和编辑PE(EXE/DLL)资源,类似PE资源工具有eXeScope、ResHacker等。
软件名称:
PE工具 CFF Explorer v 8.0 汉化绿色版
软件大小:
3MB
更新时间:
2016-11-30
使用CFF Explorer可以查看和修改PE文件的资源,可以查看dll文件可供调用的函数,修改函数入口地址达到制造崩溃屏蔽功能的目的。CFF Explorer具有类似DEPENDS的依赖分析功能/hex编辑器/快速反汇编等功能,详见下图:
PE(Portable Execute)文件被称为可移植的执行体,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
Windows 7下实现API HOOK的方法
关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket api:recv,recvfrom, send, sendto等等,当然你可以用网络抓包工具,这里只介绍通过API HOOK的方式来实现,最基本的有两种方法:1.修改原函数的入口地址,就是修改PE文件输入函数地址表 2.不改变函数输入表,修改函数最开始的内存数据,增加JMP语句跳转到自己的函数,执行完后再恢复内存数据.
使用JMP语句的方法是比较灵活的,所以通过API CreateRemoteThread 可以把自己的DLL注入到另一个进程,然后再使用JMP方法来实现API的截获,这种技术的另一个用处就是隐藏进程,很多病毒木马也是利用这个技术来隐藏自己,很难被发现和清除。
但是通过 CreateRemoteThread 注入DLL的技术在Win7系统中已经不能简单的使用了,Win7系统在很多方面都加强了安全性,限制了很多的API的调用,那么如何简单的来做到DLL注入和API HOOK呢?这里就要介绍一个大名鼎鼎的工具:CFF Explorer,是Explorer Suite(http://www.ntcore.com/)中的一个工具 用于PE文件的修改,同时也可以对原PE文件增加函数输入表,我们只要写好一个DLL文件,然后实现一个导出函数,就可以用这个工具对PE文件增加对自己的DLL的加载,下面这个操作就是让notepad.exe加载rand.dll的操作:
只要Rebuild Import Table,然后再Save/Save As就可以保存新的文件。这样你的dll就自动的被加载了,然后再DLL加载的时候实现API HOOK就在功告成了。
使用这个技术可以做很多“坏事”,比如刚才提到的截获进程的网络收发数据,还有就是对软件的破解或者去时除限制,举例:假设一个软件是试用软件,试用7天,最笨的办法就是改本机时间,但如果用API HOOK技术就可以很容易做到,可以先用CFF Explorer或者Dependency查看一下该软件是调用 哪个函数来获取系统当前时间的,假如是GetLocalTime函数,那么我就可以截获GetLocalTime,返回一个永不过期的时间,然后利用CFF Explorer把自己的DLL增加到软件的函数导入表,这样不用改系统时间就去除了软件的试用期限。
郑重提示:利用API HOOK可以做很多你想做的事情,但我觉得自己研究使用可以,千万不要去传播或者谋取利益,否则后果很严重的。
CFF Explorer 查看/修改PE文件资源相关推荐
- linux服务器上svn的log_SVN如何查看修改的文件记录
主要是有四个命令,svn log用来展示svn 的版本作者.日期.路径等等:svn diff,用来显示特定修改的行级详细信息:svn cat,取得在特定版本的某文件显示在当前屏幕:svn list, ...
- linux下svn怎么查看修改记录,SVN如何查看修改的文件记录
主要是有四个命令,svn log用来展示svn 的版本作者.日期.路径等等:svn diff,用来显示特定修改的行级详细信息:svn cat,取得在特定版本的某文件显示在当前屏幕:svn list, ...
- 查看修改qcow2文件
描述 可以通过qemu-nbd工具映射qcow2文件到本地设备,然后mount到本地目录进行查看或者修改: 步骤: 1.安装相关软件kpartx.qemu-nbd apt-get intall kpa ...
- 根据XPATH去查看修改xml文件节点的内容
首先给出xml文件解析的路径,然后去读取节点的内容. package com.inetpsa.eqc.threads;import java.util.List; import java.io.Fil ...
- PE文件资源解析(十一)对话框资源的解析
对话框资源,在这里指的是资源类型为RT_DIALOG的资源信息.通过ResHacker看到的效果图如下: 待续......
- DLL依赖查看神奇CFF Explorer
CFF Explorer是一款优秀的PE资源工具,使用CFF Explorer可以方便地查看和编辑PE(EXE/DLL)资源,类似PE资源工具有eXeScope.ResHacker等. 使用CFF E ...
- CFF Explorer实现Windows 7下API HOOK
关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket ...
- 对Windows 平台下PE文件数字签名的一些研究
Windows平台上PE文件的数字签名有两个作用:确保文件来自指定的发布者和文件被签名后没有被修改过.因此有些软件用数字签名来验证文件是否来自家厂商以及文件的完整性,安全软件也经常通过验证文件是否有数 ...
- 4.2 x64dbg 针对PE文件的扫描
通过运用LyScript插件并配合pefile模块,即可实现对特定PE文件的扫描功能,例如载入PE程序到内存,验证PE启用的保护方式,计算PE节区内存特征,文件FOA与内存VA转换等功能的实现,首先简 ...
最新文章
- createprocess失败代码2_Win7 中 Visual C++ 2015安装失败解决方法
- 使用链路聚合进行负载分担
- redis mysql主从延迟_MySQL主从延迟问题解决
- 【网络安全】黑客是怎么利用私服游戏远控电脑的呢?
- webService学习记录
- 数据库连接和乱码问题
- 19 Signals and Signal Handling
- Docker学习总结(33)——Docker环境下搭建 MySQL 主从复制
- SQL Server中的递归CTE和外键引用
- GDAL源码剖析(五)之Python命令行程序
- 安装更新Lenovo Solution Center更新失败!具体问题看内容!要是等官方技术人员解决,估计要等上好一段时间!...
- Android开发学习笔记(11):NDK与Cygwin配置手顺
- PHP获取指定月的前N个月数据
- windows 无法安装到这个磁盘,选中的磁盘具有MBR分区表,在EFI系统上,windows只能安装在GPT磁盘上
- 分享 | 带来全新交互体验的『支付宝AR』技术大解密
- white-space:nowrap normal pre pre-wrap pre-line的区别以及pre和pre-wrap的“首行缩进“问题
- 防止电脑锁屏html 代码 适合IE下运行
- 【工具封装】Python 字典列表按中文姓名首字母排序
- 水果店圈子:水果店水果都去哪进货,水果店进货怎么找货源
- java rmi tcp_Tomcat启动失败报错[RMI TCP Connection(4)-127.0.0.1] [RMI TCP Connection(3)-127.0.0.1]...
热门文章
- 第0天 无人问津 --人生得意须尽欢,莫使金樽空对月 《游记80天》
- 机器学习之概率图模型(贝叶斯概率,隐马尔科夫模型)
- 计算机视觉——图像去噪及直方图均衡化(图像增强)
- Excel表格里的数据全部变成了时间或者日期格式的时候怎么办???
- vue路由跳转的四种方法
- 召开云计算技术交流大会计算机,2017年职称计算机考试WPS_Office强化练习(1)
- 【产业互联网周报】硅谷银行破产,冲击或蔓延全球;组建国家数据局、国家金融监督管理总局;钉钉收购“我来wolai”...
- 学计算机转业哪个学校好,大学报考计算机专业哪个学校比较好
- 趣味题——求两个日期之间相隔的天数
- 【小月电子】ALTERA FPGA开发板系统学习教程-LESSON10无源蜂鸣器驱动