关于PYG劫持工具的求助

东方青石

今天练习第一次试用PYG劫持工具，也看了论团里的视频教程等。但仍对工具有疑问，盼坛友解决。就是实时基址及HOOK API问题。
问题来由：
     我练习的软件是用EXE加载DLL的方式，验证代码全部在DLL中，EXE无需补丁。我使用工具时，设置目标1为exe，目标2为该DLL，并勾选 补丁DLL/ocx等附属文件选项，目标DLL设置成改加载DLL.
     问题一：现在我设置实时基址，这个基址是指EXE的还是DLL的？我现在理解是DLL的
     问题二：所谓API HOOK时机是不是应该时DLL文件加载后HOOK某个函数？还是HOOK exe中的某个API。教程均是对EXE补丁，所以在此一问。

不破不立

这个基址是指要补丁的程序，你的这种情形是dll，hook api 实际就是控制补丁的时机，这个得具体分析，没有一个固定模式

东方青石

不破不立 发表于 2019-1-27 20:56
这个基址是指要补丁的程序，你的这种情形是dll，hook api 实际就是控制补丁的时机，这个得具体分析，没有一 ...

嗯，我理解就是这样，像我这情况，在loadlib 之前DLL没加载，这个时候去HOOK补丁应该是不能实现的。但每次加载DLL后DLL模块基地址都不一样（exe的基地址不变），这个时候如何HOOK，找了很久也没找到load之后有效的API函数。我这情况的操作是否不对

ljhljf

exe加载用户DLL，用户dll通常会重定位，所以建议不要到系统中去找dll的基地址，要找RVA（偏移地址）。

东方青石

ljhljf 发表于 2019-2-22 15:17
exe加载用户DLL，用户dll通常会重定位，所以建议不要到系统中去找dll的基地址，要找RVA（偏移地址）。

RVA也应该是针对DLL的模块基址吧？

ljhljf

东方青石 发表于 2019-3-3 19:13
RVA也应该是针对DLL的模块基址吧？

是针对dll基址的偏移

东方青石

ljhljf 发表于 2019-3-3 21:09
是针对dll基址的偏移

昨天试了几次bymax和PYG的工具，两种方法的补丁都不能正常补丁。

sftk

感谢楼主的分享