CFF Explorer 查看/修改PE文件資源

使用CFF Explorer可以查看和修改PE文件的資源，可以查看dll文件可供調用的函數(shù)，修改函數(shù)入口地址達到制造崩潰屏蔽功能的目的。CFF Explorer具有類似DEPENDS的依賴分析功能/hex編輯器/快速反匯編等功能，詳見下圖：

　　PE(Portable Execute)文件被稱為可移植的執(zhí)行體，常見的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件(可能是間接被執(zhí)行，如DLL)

　　Windows 7下實現(xiàn)API HOOK的方法

　　關于API HOOK,就是截獲API調用的技術，在對一個API調用之前先執(zhí)行自己設定的函數(shù),根據(jù)需要可以再執(zhí)行缺省的API或者進行其他處理，假設如果想截獲一個進程對網絡的訪問，一般是幾個socket api:recv,recvfrom, send, sendto等等,當然你可以用網絡抓包工具，這里只介紹通過API HOOK的方式來實現(xiàn),最基本的有兩種方法:1.修改原函數(shù)的入口地址,就是修改PE文件輸入函數(shù)地址表 2.不改變函數(shù)輸入表，修改函數(shù)最開始的內存數(shù)據(jù)，增加JMP語句跳轉到自己的函數(shù)，執(zhí)行完后再恢復內存數(shù)據(jù).

　　使用JMP語句的方法是比較靈活的，所以通過API CreateRemoteThread 可以把自己的DLL注入到另一個進程，然后再使用JMP方法來實現(xiàn)API的截獲,這種技術的另一個用處就是隱藏進程，很多病毒木馬也是利用這個技術來隱藏自己，很難被發(fā)現(xiàn)和清除。

　　但是通過 CreateRemoteThread 注入DLL的技術在Win7系統(tǒng)中已經不能簡單的使用了，Win7系統(tǒng)在很多方面都加強了安全性,限制了很多的API的調用，那么如何簡單的來做到DLL注入和API HOOK呢?這里就要介紹一個大名鼎鼎的工具:CFF Explorer，是Explorer Suite(http://www.ntcore.com/)中的一個工具 用于PE文件的修改，同時也可以對原PE文件增加函數(shù)輸入表,我們只要寫好一個DLL文件，然后實現(xiàn)一個導出函數(shù)，就可以用這個工具對PE文件增加對自己的DLL的加載,下面這個操作就是讓notepad.exe加載rand.dll的操作:

　　只要Rebuild Import Table,然后再Save/Save As就可以保存新的文件。這樣你的dll就自動的被加載了，然后再DLL加載的時候實現(xiàn)API HOOK就在功告成了。

　　使用這個技術可以做很多“壞事”，比如剛才提到的截獲進程的網絡收發(fā)數(shù)據(jù)，還有就是對軟件的破解或者去時除限制，舉例：假設一個軟件是試用軟件，試用7天，最笨的辦法就是改本機時間，但如果用API HOOK技術就可以很容易做到，可以先用CFF Explorer或者Dependency查看一下該軟件是調用 哪個函數(shù)來獲取系統(tǒng)當前時間的，假如是GetLocalTime函數(shù)，那么我就可以截獲GetLocalTime,返回一個永不過期的時間，然后利用CFF Explorer把自己的DLL增加到軟件的函數(shù)導入表，這樣不用改系統(tǒng)時間就去除了軟件的試用期限。

　　鄭重提示：利用API HOOK可以做很多你想做的事情，但我覺得自己研究使用可以，千萬不要去傳播或者謀取利益，否則后果很嚴重的。