EWatcher_v0.1-易语言事件监控-无视按钮事件VM-52HB专版
0x1软件说明:EWatcher_v0.1一款监控易语言进程事件消息处理函数的Dll劫持.
现在绝大多数E-Debug均是Hook FF 55 FC 5F 5E 易语言的控件消息分发函数来拦截事件。如下图
更底层一点的,就是进入EventNotify(按钮事件Call上面的函数,去寻找Call ebp-4是如何来的).
但是假如两者都被VM了,绝大多数E-Debug类调试器均无效了。如下图 我VM了FF 55 FC 5F 5E以及上面的获取控件地址两个函数 E-Debug虫子修复版提示找不到
而EWatcher则不受VM掉这两个函数的影响
0x2软件配图&使用方法:
软件是一个winspool.drv的劫持dll+一个Reload.dll
使用很简单,只需要把这个drv文件和Reload.dll拖到和目标文件一致目录即可。
等待2.5s 即可出现cmd窗口.
0x3注意事项
EWatcher并非万能,也会被VM影响。
主要影响有两点:
1.VM解码时机
2.VM了我的Sig(特征码)
问题一可以被解决,我手动设置了2.5s的解码时间,如果不够,请自行解决(比如改掉Sleep的时间)
问题二无法解决,如果我搜索的Sig被VM了,EWatcher也只能望洋兴叹。所以EWatcher只是比一般的E-DEBUG更底层一些。
0x4警告
由于Ewacther的代码特殊性(覆盖代码),一旦加载了,只能用于寻找按钮(控件)事件,所有的按钮都会失效(也不一定),只能定位到按钮事件的地址
举个例子,本来你点击按钮是可以载入窗口的,但是加载了Ewatcher,点击按钮并不能加载窗口,只会在命令行给你提升,这个按钮事件的地址。
因此你可以把EWatcher当作逆向破解的一个快速定位工具
0x5是否有本站链接
是
0x6 下载地址
写这个东西耗费了我近2天事件(主要是完善SuperInlineHook) 打算过几天开源(等SuperInlineHook完善x64)
**** Hidden Message *****
确实牛逼
{:5_116:} 感谢分享!~ 感谢分享 好像原理和JCC差不多 感谢分享 感谢分享 学习一下 谢谢分享!!!!!!!!!!!
确实牛逼 确实牛逼