DLL劫持三:inline hook JMP实例 (UDP recvfrom)

最新推荐文章于 2024-07-15 10:38:31 发布
最新推荐文章于 2024-07-15 10:38:31 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 开发语言类 文章标签: socket DLL劫持 Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qffhq/article/details/10621447
版权

核心代码从网上找的,但原始函数调用一直有问,经过分析 整理并测试成功。

 

#include <stdio.h>
#include<windows.h>

#pragma comment( lib, "Ws2_32.lib" )

DWORD OldProtect2;
byte pData[10];    //保留原始函数的调用
FARPROC FunAddr;   //生成新的函数调用

typedef int ( WINAPI RecvFromFN)( SOCKET s, char *buf, int len, int flags, sockaddr *from, int *fromlen);
RecvFromFN* pfnOrigRecvFrom ;

void inhook(char* path,char* FunctionName,DWORD NewAddr)
{
	if(FunAddr!=0)
	 return ;
	HMODULE ModuleHandle= LoadLibraryA(path);
	FunAddr = GetProcAddress(ModuleHandle,FunctionName);

	VirtualProtect(FunAddr,5,PAGE_EXECUTE_READWRITE,&OldProtect);
	ZeroMemory(pData,10);
	RtlMoveMemory(pData,FunAddr,5);
	long b;
	b=NewAddr-((long)FunAddr+5);
	byte a[5];
	a[0]=0xE9;
	RtlMoveMemory(&a[1],&b,4);
	WriteProcessMemory(GetCurrentProcess(),FunAddr,a,5,NULL);
	pData[5]=0xE9;
	pData[6]=0;
	pData[7]=0;
	pData[8]=0;
	pData[9]=0;
	b=(long)FunAddr+5-(long)(pData+10);
	WriteProcessMemory(GetCurrentProcess(),pData+6,&b,4,NULL);
	FreeLibrary(ModuleHandle);

        //下面这两行用于调用原始函数
	pfnOrigRecvFrom = (RecvFromFN*) (DWORD) (pData);
	VirtualProtect(pfnOrigRecvFrom,10,PAGE_EXECUTE_READWRITE,&OldProtect2);
 
}
void unhook(void)
{
	if(FunAddr==0)
	 return ;
	WriteProcessMemory(GetCurrentProcess(),FunAddr,pData,5,NULL);
	VirtualProtect(FunAddr,5,OldProtect,NULL);
	FunAddr=0;
	ZeroMemory(pData,10);
	VirtualProtect(pfnOrigRecvFrom,10,OldProtect2,NULL);  //恢复原始函数指针
}

int WINAPI Mine_RecvFrom(SOCKET s, char *buf, int len, int flags, sockaddr *from, int *fromlen)
{		
    int tmpRet = pfnOrigRecvFrom(s,buf,len,flags,from,fromlen);	
    sockaddr_in * pSin = (sockaddr_in *) from;
        
    //显示接收数据长度,来源IP和端口
    fprintf(stdout,"Recv Data Size:%d From:%s:%d.\n",tmpRet, inet_ntoa(pSin->sin_addr),ntohs(pSin->sin_port));
	
    return tmpRet;
}


以上代码在进程内调用有效,也支持进程内DLL方式,实际调用时使用代码

inhook("Ws2_32.dll","recvfrom",(DWORD) Mine_RecvFrom); 

就可以了,DLL的话在DllMain中直接加载。

qffhq
关注
专栏目录
recvfrom()
喷喷猪
08-19 4014
recvfrom()简述:  接收一个数据报并保存源地址。  #include   int PASCAL FAR recvfrom( SOCKET s, char FAR* buf, int len, int flags,  struct sockaddr FAR* from, int FAR* fromlen);  s:标识一个已连接套接口的描述字。  buf:接收数据缓冲区。  len:缓
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
【自定义抓包发包工具(中)——挂钩六大通信函数】send,sendto,wsasend,recvrecvfrom,wsarecv函数挂钩,hook实战
最新发布
luoqiaoliang的博客
07-15 791
在上篇内容中【自定义抓包发包工具(上)】我们提到了Windows通信底层实现和编写带窗口的动态库,然后将动态库注入并显示了窗口。本期是自定义抓包、发包工具的第二部分。本部分内容是对Windows常用的六大通信函数进行挂钩,并将发送和接受的数据包打印输出出来。主要工作有Detour Hook框架的使用【DetourHook框架】,六大通信函数源地址获取【源函数地址获取】和对应代理函数的实现。并通过带窗口的动态库注入控制捕获数据。
Linux系统调用-- recv/recvfrom/recvmsg函数详解(转)
weixin_33895695的博客
07-01 1412
Linux系统调用-- recv/recvfrom/recvmsg函数详解2007-09-10 23:37 【recv/recvfrom/recvmsg系统调用】 功能描述: 从套接字上接收一个消息。对于recvfrom 和 recvmsg,可同时应用于面向连接的和无连接的套接字。recv一般只用在面向连接的套接字,几乎等同于recvfrom,只要将recvfrom...
recvfrom
tdk_root的专栏
09-06 1264
功能:    recvfrom函数(经socket接收数据):   函数原型:ssize_t recvfrom(int sockfd,void *buf,int len,unsigned int flags, struct sockaddr *from,socket_t *fromlen); ssize_t 相当于 int,socket_t 相当于int ,这里用这个名字为的是提高代码
【Linux 内核网络协议栈源码剖析】recvfrom 函数剖析
热门推荐
wenqian 'blog
07-16 1万+
继前篇介绍完sendto 数据发送函数后,这里介绍数据接收函数 recvfrom。 一、应用层——recvfrom 函数 对于这个函数有必要分析一下,先看看这个dup例子。服务器端中调用recvfrom函数,并未指定发送端(客户端)的地址,换句话说这个函数是一个被动函数,有点类似于tcp协议中服务器listen 之后阻塞,等待客户端connect。这里则是服务器端recvfrom后,等待客户端
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
代码实例分析android中inline hook
08-28
本文将通过一个实例代码,详细介绍 Android 中的 Inline Hook 技术的实现过程。该实例代码包括四个方面:实现目标注入程序、实现主程序、实现注入函数、Thumb 指令集实现等。 实现目标注入程序 在实现目标注入程序...
C++实现inline hook的原理及应用实例
09-04
【C++ Inline Hook原理】 Inline Hook是Windows编程中一种高级技术,主要用于监控或修改系统调用的行为。在C++中实现inline hook,主要是通过在目标函数的内存空间中插入跳转指令,使得当函数被调用时,控制流会...
使用内核步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
recvfrom函数
唐装鼠的主页
03-26 5953
RECV(2) Linux Programmer’s Manual RECV(2) NAME recv, recvfrom, recvmsg - receive a message from a socket SYNOPSIS #include <sys/types.h> #include <sys/socket.h> ssize_t recv(int sockfd, void *buf, size_t len, int flags);
hook api jmp调用底层windows
05-06
环境vs2019 c++控制台程序,这个主要是修改Kernel32.dll入口来使得在启动前就监听函数。
Linux系统调用-- recv/recvfrom 函数详解
03-28
从套接字上接收一个消息。对于recvfrom ,可同时应用于面向连接的和无连接的套接字。recv一般只用在面向连接的套接字,几乎等同于recvfrom,只要将recvfrom的第五个参数设置NULL。 如果消息太大,无法完整存放在所提供的缓冲区,根据不同的套接字,多余的字节会丢弃。 假如套接字上没有消息可以读取,除了套接字已被设置为非阻塞模式,否则接收调用会等待消息的到来。
WSARecvFrom()
气有浩然,学无止境
09-14 3880
<br />int WSARecvFrom ( SOCKET s, LPWSABUF lpBuffers, DWORD dwBufferCount, LPDWORD lpNumberOfBytesRecvd,
recvfrom以及recv
闻道有先后,术业有专攻,如是而已。
05-19 799
recvfrom比recv多两个参数的原因  recv是TCP的APIrecvfrom是UDP的API多余的两个参数可以用来接收对端的地址信息,这个对于udp这种无连接的,可以很方便地进行回复。而换过来如果你在udp当中也使用recv,那么就不知道该回复给谁了,如果你不需要回复的话,也是可以使用的。另外就是对于tcp是已经知道对端的,就没必要每次接收还多收一个地址,没有意义,要取地
vc之recvfrom
sdnujun的专栏
10-11 3660
<br />recvfrom函数(经socket接收数据): <br />  函数原型:ssize_t recvfrom(SOCKET s,void *buf,int len,unsigned int flags, struct sockaddr *from,socker_t *fromlen); <br />  ssize_t 相当于 int,socket_t 相当于int ,这里用这个名字为的是提高代码的自说明性。 <br />  相关函数 recvrecvmsg,send,sendto,socket
recv或者recvfrom
huangxiansheng1980的专栏
09-16 4537
recvrecvfrom都是用来接受来自的网络的数据。来看看它们的原型:int recvSOCKET s,         char FAR *buf,    int len,          int flags       );int recvfrom(  SOCKET s,                     char FAR*buf,                int len,                      int flags,                    st
深入理解Android inline hook:代码实例解析
"本文将通过代码实例分析Android中的inline hook技术,包括实现目标注入程序、主程序、注入函数以及thumb指令集的实现。" 在Android开发中,inline hook是一种高级的调试和修改应用行为的技术,它允许开发者在运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值