关于UnhookMeUnhookMe是一个通用的WindowsAPI动态分析工具,可以帮助研究人员分析和处理恶意软件中不受监控的系统调用。在这个侵入性防病毒和EDR产品的时代,许多网络攻击者必须拥有强大的工具才能绕过这些安全防御措施。动态导入解析器可以在运行过程中对使用的函数进行unhook,这是增强攻击者攻击能力的另一种方式。UnhookMe可以帮助研究人员在已编译的可执行文件的PE标头中保持可见性。工具下载Researchers可以使用以下命令将项目源代码克隆到本地:gitclonehttps://github.com/mgeeky/UnhookMe.git要使用该工具,我们需要在我们的解决方案中引入总共五个C++源文件/头文件.但是,你的主程序文件只需要引入两个必要的头文件即可。文件说明如下:resolver.h——头文件包含UnhookingImportResolver的大部分实现;resolver.cpp-包含全局选项的源代码;usings.h-一个非常大的头文件,包含通用WindowsAPI的using类型定义;PE.cpp——自定义PE解析器源代码文件;PE.h-自定义PE解析器源文件;所需的头文件你的程序只需要以下两个必要的头文件:#include"usings.h"#include"resolver.h"globaloptions以下是解析器的全局配置选项,我们可以根据自己的需要进行配置修改,这些参数都定义在resolver.cpp文件中:globalQuietOption——如果不想得到输出,设置为true;globalVerboseOption-如果您想获得详细的详细输出,请设置为true;globalAntiSplicingOption-解开函数;globalLogFilePath-重定向输出日志;boolglobalQuietOption=false;boolglobalVerboseOption=true;boolglobalAntiSplicingOption=true;wchar_tglobalLogFilePath[MAX_PATH]=L"";工具使用示例项目地址UnhookMe:[GitHub传送门]
