通过SEH 非inline hook

最新推荐文章于 2022-04-21 21:42:12 发布
最新推荐文章于 2022-04-21 21:42:12 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomelozero/article/details/45059205
版权

SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理)
SEH是OS提供给线程来感知和处理异常的一种回调机制。
在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。
typedef struct _EXCEPTION_REGISTRATION_RECORD {
    struct _EXCEPTION_REGISTRATION_RECORD *Next;
    PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;
EXCEPTION_ROUTINE (
    _Inout_ struct _EXCEPTION_RECORD *ExceptionRecord,
    _In_ PVOID EstablisherFrame,
    _Inout_ struct _CONTEXT *ContextRecord,
    _In_ PVOID DispatcherContext
    );

typedef EXCEPTION_ROUTINE *PEXCEPTION_ROUTINE;
typedef struct _EXCEPTION_RECORD {
    DWORD    ExceptionCode;
    DWORD ExceptionFlags;
    struct _EXCEPTION_RECORD *ExceptionRecord;
    PVOID ExceptionAddress;
    DWORD NumberParameters;
    ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
    } EXCEPTION_RECORD;
   
XP之后,在基于线程的SEH基础增加了基于进程的VEH
比较:
1.SEH基于线程,VEH基于进程
2.优先级:调试器 > VEH > SEH 即KiUserExceptionDispatcher()函数先检查进程是否处理调试,然后VEH,最后SEH.
3.SEH单链表,VEH双链表,VEH节点可挂在头上或尾上。
注册VEH的回调API:
PVOID WINAPI AddVectoredExceptionHandler(
  __in  ULONG FirstHandler,
  __in  PVECTORED_EXCEPTION_HANDLER VectoredHandler
);

IA-32处理器定义了8个调试寄存器(DR0-DR7) DR0-DR3用于指点内存地址或I/O地址 DR4-DR5保留,DR6事件发生报告详细信息,DR7定义中断条件。
硬件断点HOOK是结合DR0-DR3调试寄存器和Winows SEH或VEH机制所引入的HOOK机制,因不涉及修改代码,不易检验检测到。

 

//test.exe
#include <stdio.h>
#include <Windows.h>
#include <process.h>

DWORD Counter = 0;

unsigned __stdcall SecondThreadFunc( void* pArguments )
{
    while ( Counter < 2 )
	{
最低0.47元/天 解锁文章
pomelozero
关注
专栏目录
二、C++反作弊对抗实战 (进阶篇 —— 9.利用硬件断点 + 结构化异常 SEH HOOK)
Koma的主页
03-04 1285
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个
基于VEH的无痕HOOK
最新发布
小龙在线
08-09 343
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。
SEH异常处理学习总结
ToBeroOTer的专栏
03-02 4306
前一段时间,在看异常处理一章内容的时候,发现这一部分还真的挺有尿水:)所以上网搜了一下有关内容,呦嗬,还挺丰富的。当然有些自己还是看不懂,现在就将这些宝贝拿出来跟大家共享一下。首先我们看一下使用异常处理的几种情况:A. 用来处理致命的错误B. 对API函数的参数合法性的检验(假设参数都是合法的,只有遇到异常的时候进行合法性检验)C. 处理致命错误(退出时最好的选择,但是有的时候可以用异常处理函数
7. SEH + 硬件断点HOOK
My classmates
11-04 2403
DLL #include&lt;windows.h&gt; #include &lt;TlHelp32.h&gt; #include &lt;stdio.h&gt; #include &lt;limits.h&gt; typedef HANDLE(WINAPI *OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); OPENTHR...
SEH 技术实现 API Hook
03-25 911
SEH 技术实现 API Hook(作者:罗聪) 下载本节例子程序和源代码 (5.21 KB) 阅读本文之前,我先假设读者已经知道了 SEH 和 API Hook 的基本概念,因为我不打算在此进行扫盲工作。什么?你不懂什么叫 SEH 和 API Hook ?那……先去找点资料看看吧,到处
C++ SEH HOOK拦截任意API 1G视频教程.zip
08-18
C++ SEH HOOK拦截任意API 1G视频教程
SEH技术实现APIHook钩子
03-28
SEH技术实现API Hook.zip
【转】利用SEH和INT3实现API HOOK
01-07 198
标 题: 【原创】利用SEH和INT3实现API HOOK作 者: weizehua时 间: 2011-03-27,23:50:38链 接: http://bbs.pediy.com/showthread.php?t=131457 用SEH技术实现API Hook,网上已经有帖子了,可是那些帖子太老,太陈旧,只是适用于95、95时代。 在XP上,网上说的方法根本行不通。 小...
(滴水中期练习)通过InlineHook NtReadFile实现R3到R0的通信
Sheepjj的博客
04-17 684
用ida查看NtReadFile的汇编代码 //参数注释 PAGE:0049D117 var_78 = dword ptr -78h PAGE:0049D117 var_74 = dword ptr -74h PAGE:0049D117 var_70 = dword ptr -70h PAGE:0049D117 var_6C = dword ptr -6Ch PAGE:0049D117 Irp = dword
R3 WIN64下只修改1字节的Inline Hook完整代码(C/C++)
02-19
基于SEH的R3 WIN64下只修改1字节的Inline Hook完整代码 此代码在Visual Studio 2013编译通过,为了不链接到msvcr120.dll,我在工程中添加了链接至msvcrt.dll的静态库
VEH+硬件断点实现无痕HOOK
09-24
VS2019源码 VEH+硬件断点实现无痕HOOK
线程异常SEHHook
12-28
线程异常SEHHook
利用SEH和INT3实现API HOOK.rar
09-17
利用SEH和INT3实现API HOOK.rar
e语言-利用硬断 VEH实现APIHOOK
08-23
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦只在XP WIN7 X32 下测试通过
易语言-利用硬断+VEH实现APIHOOK
06-25
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦 只在XP WIN7 X32 下测试通过
二、C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1419
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL》
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2217
前言 我们知道常见的注入方式有IAT hook、SSDT hookInline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
基于VEH&调试寄存器实现无痕HOOK(5)
m0_64973256的博客
12-30 2564
Windows操作系统中存在多种异常处理,我们现在需要的是其中的VEH
C++异常处理:异常与SEH的差异解析
"这篇文章主要探讨了C++异常处理机制与Windows特定的结构化异常处理(SEH)之间的差异,以及它们各自的特点和用法。通过示例代码展示了如何使用C++的`try-catch`以及Windows特有的`__try/__except/__finally`块,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值