EWatcher_v0.1-易语言事件监控-无视按钮事件VM-52HB专版

0x1软件说明：EWatcher_v0.1
一款监控易语言进程事件消息处理函数的Dll劫持.
现在绝大多数E-Debug均是Hook FF 55 FC 5F 5E 易语言的控件消息分发函数来拦截事件。如下图

更底层一点的,就是进入EventNotify(按钮事件Call上面的函数,去寻找Call ebp-4是如何来的).



但是假如两者都被VM了，绝大多数E-Debug类调试器均无效了。如下图 我VM了FF 55 FC 5F 5E以及上面的获取控件地址两个函数 E-Debug虫子修复版提示找不到

而EWatcher则不受VM掉这两个函数的影响

0x2软件配图&使用方法：
软件是一个winspool.drv的劫持dll+一个Reload.dll
使用很简单，只需要把这个drv文件和Reload.dll拖到和目标文件一致目录即可。

等待2.5s 即可出现cmd窗口.
0x3注意事项
EWatcher并非万能,也会被VM影响。
主要影响有两点:
1.VM解码时机
2.VM了我的Sig(特征码)
问题一可以被解决,我手动设置了2.5s的解码时间，如果不够,请自行解决(比如改掉Sleep的时间)
问题二无法解决,如果我搜索的Sig被VM了，EWatcher也只能望洋兴叹。所以EWatcher只是比一般的E-DEBUG更底层一些。
0x4警告
由于Ewacther的代码特殊性(覆盖代码),一旦加载了,只能用于寻找按钮(控件)事件,所有的按钮都会失效(也不一定),只能定位到按钮事件的地址
举个例子，本来你点击按钮是可以载入窗口的,但是加载了Ewatcher，点击按钮并不能加载窗口，只会在命令行给你提升,这个按钮事件的地址。
因此你可以把EWatcher当作逆向破解的一个快速定位工具
0x5是否有本站链接
是
0x6 下载地址
写这个东西耗费了我近2天事件(主要是完善SuperInlineHook) 打算过几天开源(等SuperInlineHook完善x64)

游客，如果您要查看本帖隐藏内容请回复

确实牛逼

感谢分享！~

感谢分享

好像原理和JCC差不多

感谢分享

感谢分享 学习一下

谢谢分享！！！！！！！！！！！

确实牛逼

确实牛逼