导入地址表是只读的?

Import address table read only?

提问人:Pieter Jansen 提问时间:6/20/2023 最后编辑:Brian Tompsett - 汤莱恩Pieter Jansen 更新时间:7/2/2023 访问量:26

问:

老实说,我现在很担心。我想出于良性目的挂钩 IAT,我知道它是如何工作的以及我需要做什么等,但我读了这篇文章,其中指出 IAT 从现在开始是只读的。

但是,在这种情况下,良性研究人员等无法再挂钩 Win32 API 函数(只能挂钩那些在运行时通过内联挂钩调用的函数)。我的意思是。。。防病毒软件可能在内核中作为微筛选器驱动程序运行,因此这些应用程序可能不需要挂钩 API,

但仍然......这不是严谨的吗(这很好,因为 rootkit 不能滥用 Windows API,而是用于良性工具)..?

Windows 导入 DLL 挂钩

评论

0赞 IInspectable 11/6/2023
钩子是观察者。为什么需要对正在观察的数据进行写入访问?

答: 暂无答案

上一个:PE 文件结构

下一个:记忆中的 OriginalFirstThunk