假设我们的特征码定位在MessageBoxA函数的地址(只是举个例子,一般这个函数不会被杀,其他函数也类似方法)那么我们到源码里面发现,我们在PrintMsg函数中调用了这个API函数,那么我们就要对他进行处理。对于输入表被查杀我们一般的处理方法是修改函数的调用方式,比如采用dll动态调用,通过上图,我们知道我们是以非unicode方式编译的MessageBox,他对应的非Unicode的函数为MessageBoxA,同时我们也得到这个MessageBoxA函数在UER32.dll文件中。那么我们修改MessageBox的调用方式为dll的动态调用,其代码修改成:
typedef int (WINAPI *MessageBoxAT)
(
HWND hWnd,
LPCSTR lpText,
LPCSTR lpCaption,
UINT uType
);
void PrintMsg()
{
char StrMsg[]="FgneL!olleH";
MessageBoxAT pMessageBoxA= (MessageBoxAT)GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA");
pMessageBoxA(NULL,strrev(StrMsg),NULL,MB_OK);
}
这样以后我们就修改了输入表中调用API函数的名称了。其他API函数也可以类似的修改调用方式。
typedef int (WINAPI *MessageBoxAT)
(
HWND hWnd,
LPCSTR lpText,
LPCSTR lpCaption,
UINT uType
);
void PrintMsg()
{
char StrMsg[]="FgneL!olleH";
MessageBoxAT pMessageBoxA= (MessageBoxAT)GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA");
pMessageBoxA(NULL,strrev(StrMsg),NULL,MB_OK);
}
这样以后我们就修改了输入表中调用API函数的名称了。其他API函数也可以类似的修改调用方式。
本文转自94cool博客园博客,原文链接:http://www.cnblogs.com/94cool/archive/2012/10/31/2747403.html,如需转载请自行联系原作者
