日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

關(guān)于UnhookMe

UnhookMe是一款通用的Windows API動態(tài)解析工具，可以幫助廣大研究人員分析和處理惡意軟件中未受監(jiān)控的系統(tǒng)調(diào)用問題。

稱多網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián),稱多網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為稱多成百上千提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站制作要多少錢，請找那個售后服務(wù)好的稱多做網(wǎng)站的公司定做！

在這個侵入式反病毒產(chǎn)品和EDR產(chǎn)品盛行的年代，很多網(wǎng)絡(luò)攻擊者必須擁有強(qiáng)大的工具來繞過這些安全防御工具。而動態(tài)導(dǎo)入解析器能夠在運(yùn)行中取消已用函數(shù)的鉤子，這也是增強(qiáng)攻擊者攻擊能力的又一方法。

而UnhookMe可以幫助廣大研究人員在編譯的可執(zhí)行文件的PE頭中保持可視性。

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

 
 
 

  
  
  
git clone https://github.com/mgeeky/UnhookMe.git
 
 
 

工具使用

我們總共需要在自己的解決方案中引入五個C++源文件/頭文件。不過，你的主程序文件僅需要引入兩個必要的頭文件即可，文件描述如下：

• resolver.h - 頭文件中包含了UnhookingImportResolver的大部分實現(xiàn);
• resolver.cpp - 包含了全局選項的源代碼;
• usings.h - 一個非常大的頭文件，包含了針對常見Windows API的using類型定義;
• PE.cpp - 自定義PE解析器源代碼文件;
• PE.h - 自定義PE解析器源頭文件;

必須的頭文件

你的程序僅需要下列兩個必要的頭文件：

 
 
 

  
  
  
#include "usings.h"
  
  
  
#include "resolver.h"
 
 
 

全局選項

下面給出的是解析器的全局配置選項，我們可以根據(jù)自己的需要來進(jìn)行修改，這些參數(shù)全部定義在resolver.cpp文件中：

• globalQuietOption - 如果你不想獲取輸出，則設(shè)置為true;
• globalVerboseOption - 如果你想要獲取詳細(xì)的Verbose輸出，則設(shè)置為true;
• globalAntiSplicingOption - 解除函數(shù)鉤子;
• globalLogFilePath - 重定向輸出日志;

  
  
  

   
   
   
bool globalQuietOption = false;
   
   
   

   
   
   
bool globalVerboseOption = true;
   
   
   

   
   
   
bool globalAntiSplicingOption = true;
   
   
   

   
   
   
 
   
   
   

   
   
   
wchar_t globalLogFilePath[MAX_PATH] = L"";
  
  
  

工具使用樣例

項目地址

UnhookMe：【GitHub傳送門】

新聞標(biāo)題：如何使用UnhookMe分析惡意軟件中未受監(jiān)控的系統(tǒng)調(diào)用問題
轉(zhuǎn)載源于：http://www.dlmjj.cn/article/djgoiih.html