問題タブ [easyhook]

マルウェア分析ソフトウェアを作成したいのですが、プロセスのさまざまな kernel32 関数にコードを挿入する必要があります。たとえば、マルウェアが作成しようとするスリープを上書きする Sleep や、プロセスを強制終了する前にメモリをダンプする ExitProcess などです。

プロセスを中断して開始しようとした後、kernel32 rva を取得できることを期待してライブラリを列挙しようとしましたが、プロセスを中断して開始すると、ライブラリがロードされていないようです。

私は C# プログラマーで、リバース エンジニアリング作業を行っていますが、問題が発生しています。

私がやろうとしているのは、ライブラリ関数をリモート プロセスにフックし、データをログに記録することです。

不明なライブラリ (libcef.dll) のカスタム タイプおよび関数定義でAPI Monitorを使用しましたが、定義されている関数をインターセプトできます。

これらの関数をフックする独自のアプリケーションを作成したいと考えています。マネージ EasyHook ライブラリを使用して C# で多くのマーシャリングを行うよりも簡単に思えるので、C++ で EasyHook を使用することにしました。

EasyHook では、フックする関数を正しい関数呼び出し規則、識別子、およびパラメーターで定義する必要があります。

ただし、私が持っている C++ の知識は限られているため、API Monitor 用に (XML ファイルで) 持っている型定義を C++ コードに変換することができます。これを、フックする関数を定義するときに使用できます (これは cef_parse_url です)。

問題は、以下の API モニター型定義 (XML) を C++ コードに変換するにはどうすればよいかということです。

誰かが私を助けることができれば、それは私にとって世界を意味します. C++ の中級者であれば、簡単に私を助けることができると思います。

前もって感謝します！