В моей программе используется DLL-injecting api hook для перехвата n-го количества функций во всех процессах. Делается это функцией ReplaceIATEntryInOneMod() из Рихтера, точнее адаптированный вариант взятый с rsdn.ru http://www.rsdn.ru/article/baseserv/apicallsintercepting.xml .

С программами, которые запакованы, данный метод не работает, и понятно почему - искаженная/обрезанная/неоригинальная таблица импорта. Там просто нет этих функций.
Можно выполнять перехват не в момент загрузки приложения, а в другой момент, когда пакер отработал.
Но, мне кажется, это нереально для любого пакера, даже еще не существующего, уметь вычислить OEP и далее восстановить таблицу импорта и пропатчить ее... А если это не пакер, а протектор...

Подскажите, пожалуйста, как можно решить эту проблему, кроме выше написанного варианта.

PS: GetProcAddress перехватывается нормально.

| Сообщение посчитали полезным:

перехватывать Native API

| Сообщение посчитали полезным:

Asterix
Через драйвер? Этот вариант всегда остается как запасной.

А что по поводу DLL-injecting? Никак?

| Сообщение посчитали полезным:

нет, не через дравер
в импорте kernel32.dll например

| Сообщение посчитали полезным:

Можно фильтровать вызовы GetProcAddress коректирую возвращаемые адреса пакеру. Таким образом пакер самостоятельно настроит таблицу импорта жертвы как тебе нужно. И кстати, стоит перехватывать GetProcAddress хотя бы в середине kernel32.dll.

| Сообщение посчитали полезным:

Python
Сходи на www.wasm.ru www.wasm.ru и почитай там статью Ms-Rem про перехват АПИ функций. В случае с пакованной прогой можно использовать метод сплайсинга функции, например.

-----
Research is my purpose

| Сообщение посчитали полезным:

Asterix
Zw-функции перехватываются, не понял почему, но спасибо за подсказку ;)

Step
Так и было изначально, мой GetProcAddress подсовывал мои адреса. Только видимо пакер не использует GetProcAddress...

Error_Log
Был, читал. Еще раз пройдусь.

| Сообщение посчитали полезным:

Тоже вопрос по перехвату. Как сделать переход на себя, и уложиться при этом в 7 байт.
Переход должен быть примерно такого вида:

mov reg,index
call stub

index - индекс в массиве с информацией о перехватываемой функции. Можно не mov reg,index а что либо другое, только чтобы я смог получить его в функции обраротчике.

Можно сделать так:
call stub

и по адресу возврата судить о том из какой функции нас вызвали, но тогда придётся создавать таблицу соответствий адрес возврвта-вызывающая функция, и при каждом вызове искать в ней, что будет тормозить(будет-ли? сильно?).

Можно сделать так:
mov ax,index
call stub
но боюсь в сложных программах не хватит индексов

7 баит - самая маленькая функция, которую я пока встретил - KiIntSystemCall. Кто нибудь встречал меньше?

| Сообщение посчитали полезным:

Python пишет:
Asterix
Zw-функции перехватываются, не понял почему
Ну конечно! Программа же проходится по всем модулям, в т.ч. и kernel32.dll, поэтому перехват и работает!
Еще раз спасибо! ;)

(ушел глубоко в отладку)

| Сообщение посчитали полезным:

Вот тебе мой пример перехвата Native API провозился первый раз долго при создание но там вроде все понятно. wasm.ru/forum/action=vthread&forum=23&topic=13329

| Сообщение посчитали полезным: