3
quel est le meilleur outil pour suivre les API NT.problème d'accrochage des fonctions de fichier dll NT!
A
Répondre
1
Si vous êtes dans le processus désiré, vous pouvez rediriger l'IAT (table d'adresses d'importation) pour la dll que vous souhaitez surveiller. Si vous n'exécutez pas de code en cours, vous devrez également trouver un moyen de charger votre code dans le processus souhaité.
0
Je ne sais pas si c'est sur le faisceau, mais essayez ceci pour Win32. Pour l'API native, je pense que seulement 20% d'entre eux sont documentés.
1
Microsoft's Detours peut vous aider à le faire, et c'est gratuit.
Essayez peut-être de parcourir la configuration dans olly et de la suivre jusqu'à ce qu'elle atteigne la fonction que vous devez accrocher. Ce sera probablement très fastidieux (surtout s'il est emballé ou crypté) –