fdfalcon/frida-cfg-hook

# frida-cfg-hook 这是一个基于 [Frida instrumentation toolkit](http://www.frida.re/) 的示例插桩脚本，它利用 [Control Flow Guard](http://blogs.msdn.com/b/vcblog/archive/2014/12/08/visual-studio-2015-preview-work-in-progress-security-feature.aspx) 在启用了 CFG 的 Windows 二进制文件中拦截间接调用。 该项目基于 [@deroko_](https://twitter.com/deroko_) 的想法，他首先[用 C 语言实现了它](http://deroko.phearless.org/cfg_hook.zip)。 此示例插桩脚本将附加到一个正在运行的进程，并 hook **ntdll!LdrpValidateUserCallTarget** 函数。每当该函数被调用时，它将记录调用它的地址以及 CFG 即将验证的函数指针。 希望通过修改代码中的 Javascript 部分，你能够根据需要对其进行自定义。 *frida-cfg-hook* 已在 32 位 Windows 8.1 Update 3 上经过测试。 ### 用法 只需运行 Python 脚本，指定你要插桩的正在运行的进程的 PID 或名称。示例： ``` python frida-cfg-hook.py 1234 ``` 或 ``` python frida-cfg-hook.py calc.exe ``` ### 依赖项 * [pefile](https://github.com/erocarrera/pefile) 1.2.10-139 * [frida](http://www.frida.re) 4.2.2

标签：Armitage, CFG, DEP, Docker支持, Frida, Hook, Indirect Call, LdrpValidateUserCallTarget, ntdll, Python, 二进制分析, 云安全运维, 云资产清单, 内存安全, 情报收集, 控制流防护, 插桩, 数据可视化, 无后门, 漏洞研究, 调试, 逆向工具, 逆向工程