CFF EXploer是一款优秀的PE工具,其增减区块功能非常强大。查看.net的PE结构也很方便。已经完全汉化了 Explorer Suite 的所有文件,包括主文件(pe)、自述文件、脚本、扩展以及SDK,应该说是完全池底的汉化
用于PE文件的修改,同时也可以对原PE文件增加函数输入表,我们只要写好一个DLL文件,然后实现一个导出函数,就可以用这个工具对PE文件增加对自己的DLL的加载
CFF Explorer的特色:
1、本版本美化了对话框中的控件布局,视觉上更加舒适;
2、加入了对菜单等的快捷键的支持(源软件为提供菜单快捷键);
3、修正了某些控件布局不美观的问题。
让notepad.exe加载rand.dll的操作:
只要Rebuild Import Table,然后再Save/Save As就可以保存新的文件。这样你的dll就自动的被加载了,然后再DLL加载的时候实现API HOOK就在功告成了。
使用这个技术可以做很多“坏事”,比如刚才提到的截获进程的网络收发数据,还有就是对软件的破解或者去时除限制,举例:假设一个软件是试用软件,试用7天,最笨的办法就是改本机时间,但如果用API HOOK技术就可以很容易做到,可以先用CFF Explorer或者Dependency查看一下该软件是调用 哪个函数来获取系统当前时间的,假如是GetLocalTime函数,那么我就可以截获GetLocalTime,返回一个永不过期的时间,然后利用CFF Explorer把自己的DLL增加到软件的函数导入表,这样不用改系统时间就去除了软件的试用期限。