WINDOWS下的各类HOOK

最新推荐文章于 2024-03-07 10:41:21 发布
最新推荐文章于 2024-03-07 10:41:21 发布
阅读量3.5k 收藏 8
点赞数
1、HOOK SERVICE TABLE:HOOK SSDT
这种方法对于拦截 NATIVE API 来说用的比较多。
SSDT hook,一句话——Windows把需要调用的内核API地址全都存在了
一个表中(System Service Dispatch Table),要想hook一个内核API,比较简单的办法就是把
该内核API在表(SSDT)中保存的地址修改为自己撰写的函数地址。


2、HOOK INT 2E 方法:IDT HOOK
IDT是中断描述表,可以替换其中的中断处理程序。
这种方法对于跟踪、分析系统调用来说用的比较多。原理是通过替换 IDT
表中的 INT 2E 中断,使之指向我们自己的中断服务处理例程来实现的。掌握
此方法需要你对保护模式有一定的基础。


3、 HOOK PE 方法:EAT HOOK
这种方法对于拦截、分析其他内核驱动的函数调用来说用的比较多。原理
是根据替换 PE 格式导出表中的相应函数来实现的。
EAT是可执行文件的导出表,记录DLL中可供其他程序使用的函数,可执行文件装载时会使用相应DLL的EAT表来初始化IAT表,通过替换EAT表中的函数地址,就可以使依赖于本DLL的程序得到一个假的地址。


4.IAT HOOK (ring3 用)
IAT是可执行文件的导入表,记录可执行文件使用的其它DLL中的函数,通过替换IAT表中的函数地址,可以hook相应DLL中的函数调用。


5、Inline Hook方法 (ring 0和ring3 都可以用)
Inline hook的工作流程:
1)验证内核API的版本(特征码匹配)。
2)撰写自己的函数,要完成以上三项任务。
2)获取自己函数的地址,覆盖内核API内存,供跳转。
Inline Hook的缺点:
1) 不够通用。各个windows版本中,内核API的开始一段不尽相同,要想通吃,就要多写几个版
本或者做一个特征码搜索(因为有的内核API在各个版本中非常相似,只是在“特征码”之前或之后加一点东西)。
2) 已被一些检测工具列入检测范围,如果直接从内核API第一个字节开始覆盖,那么很容易被检测,如果把覆盖范围往后推,并加以变形,也许能抵挡一气。具体情况,我才疏学浅,尚未试验


6.SYSENTRY hook
为了性能的考虑,xp后的系统都改用sysentry命令来进入ring0,去调用SSDT中的服务,不再是通过IDT中的 int 2E。这也使得我们hook也变得相对容易了。
首先获得sysentry的地址,然后改之,不用再考虑IDT了


7)IRP hook
IRP是 I/O request packets,驱动程序中有一系列分发例程来处理请求,这些例程保存在驱动设备对象的数据结构中的一个表中,也很容易替换。


whatday
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
WINDOWS 过PG后可修改SSDT,实现SSDT hook,采用二次挑战方式实现
导出表钩子之EAT HOOK解析
輚至消亡
07-06 2909
EAT HOOK与IAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出表的地址(注意这里是RVA要加上ImageBa...
Windows 如何通过 hook 来拦截截屏
最新发布
Frendguo的博客
03-07 977
这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理,特别是拦截截屏操作。文章首先指出在传统Windows应用程序中,系统没有提供直接的权限管控,因此需要采取一些其他方式,如使用hook来进行权限管控。接着,文章演示了如何通过API Monitor来监听目标应用程序的行为,以确定其使用的截屏方式。然后,文章介绍了如何使用BitBlt接口进行hook操作,以实现拦截截屏。最后,文章提供了注入hook DLL到目标进程的方法,以实现权限管理。
IAT HOOKEAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5676
导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入表 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出表hook原理跟导入表相同,步骤也差别不大 但是二者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
【原创】导出表钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4300
看了combojiang大侠的rootkit专题,发现少了一个导出表钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出表钩子比导入表钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
IAT Hook 原理分析与代码编写
CSDN
10-30 4796
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
4.4 EAT Hook 挂钩技术
CSDN
09-15 4300
EAT(Export Address Table)用于修改动态链接库(DLL)中导出函数的调用。与`IAT Hook`不同,EAT Hook是在DLL自身中进行钩子操作,而不是修改应用程序的导入表。它的原理是通过修改DLL的导出函数地址,将原本要导出的函数指向另一个自定义的函数。这样,在应用程序调用DLL的导出函数时,实际上会执行自定义的函数。与IAT不同是EAT存放的不是函数地址,而是导出函数地址的偏移,使用时需要加上指定Dll的模块基地址,当Hook挂钩之后,所有试图通过导出表获取函数地址的行为都会受到
x64技术之SSDT_Hook
Hades的博客
05-10 5523
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
win10驱动开发20——SSDT
qq_41610493的博客
12-18 774
什么是SSDT        SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此表的函数地址可以对常用windo
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1647
驱动开发,SSDT HOOK
Detours4.0最新版HOOK库源码,支持32及64位程序,这是正版源码。官方是收费的。
09-09
Detours4.0最新版,支持32及64位程序,这是正版源码。官方是收费的。
HOOK API 完美支持 x86 x64
05-24
完美支持 x86、x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
精通WindowsAPI.pdf
09-22
第1章 Windows应用程序开发入门..........................................................................................16 1.1 第一个实例程序...............................................................
精通Windows.API-函数、接口、编程实例.pdf
01-27
13.2.3 各类图形对象的具体属性与作用 383 13.2.4 绘制、填充、写入等图形输出操作 384 13.2.5 修剪与坐标变换 385 13.2.6 设备上下文的图形模式 385 13.3 一个最简单的GDI程序 386 13.3.1 示例 386 ...
Windows 系统信息查看工具 PCHunter 1.57 中文免费版.zip
06-02
PCHunter 是一款功能强大的系统安全信息查看工具,在 PCHunter 中您不但可以深入的查看系统各类信息,还可以很方便的揪出电脑的木马病毒,同时还可以在线修复各种系统问题。由于本工具大量使用 Windows 内核技术,...
Rootkit的学习与研究 各类挂钩技术
11-24
Windows环境下各类挂钩技术的技术介绍与源代码!
寒江独钓-Windows内核安全编程(高清完整版).part4
01-04
主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及三类NDIS驱动),以及最新的...
编写windows下的svn hook
06-01
好的,下面我为你详细介绍如何编写Windows下的SVN hook。 SVN hook是Subversion版本控制系统中的一种机制,用于在版本控制操作(如提交、更新、合并等)发生时触发自定义操作。SVN hook分为客户端钩子和服务器端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值