用户层 UnHook(x86)

最新推荐文章于 2024-09-26 10:06:44 发布
最新推荐文章于 2024-09-26 10:06:44 发布
阅读量147 收藏
点赞数 2
文章标签: 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/137588265
版权

大部分Windows API都会在ntdll找调用号进入内核,所以杀软3环钩子一般在ntdll

通过覆盖来清除杀软钩子(同理修改为user32.dll就可以去除上面x86的hook),例:

  • 1.从磁盘加载干净的ntdll

  • 2.获取从内存加载的ntdll

  • 3.找到代码段进行覆盖

#include <iostream>
#include <windows.h>
#include <psapi.h>

VOID UnHookNtdll() {
    // 从磁盘加载干净的ntdll
    HANDLE ntdllFile = CreateFile(L"C:\\windows\\system32\\ntdll.dll", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL); // ntdll文件句柄
    HANDLE ntdllMapping = CreateFileMapping(ntdllFile, NULL, PAGE_READONLY | SEC_IMAGE, 0, 0, NULL); // 将ntdll映射到进程内存
    LPVOID ntdllMappingAddress = MapViewOfFile(ntdllMapping, FILE_MAP_READ, 0, 0, 0); // 指向起始地址的指针
    CloseHandle(ntdllMapping); // 关闭句柄
    CloseHandle(ntdllFile);

    // 从内存加载的ntdll可能被杀软hook
    HMODULE ntdllModule = GetModuleHandle(L"ntdll.dll"); // 加载ntdll
    /*
    * MODULEINFO结构体用于存储模块信息
    * GetModuleInformation 是 Windows API,用于获取模块信息
    * 参数1:进程句柄,HANDLE(-1)为当前进程句柄
    * 参数2:模块句柄
    * 参数3:MODULEINFO结构体的指针
    * 参数4:MODULEINFO结构体大小
    */
    MODULEINFO mi = {};
    GetModuleInformation(HANDLE(-1), ntdllModule, &mi, sizeof(mi)); // 获取ntdll模块信息
    LPVOID ntdllBase = (LPVOID)mi.lpBaseOfDll; // 获取ntdll基址
    PIMAGE_DOS_HEADER hookedDosHeader = (PIMAGE_DOS_HEADER)ntdllBase; // 获取DOS头
    PIMAGE_NT_HEADERS hookedNtHeader = (PIMAGE_NT_HEADERS)((DWORD_PTR)ntdllBase + hookedDosHeader->e_lfanew); // 偏移到NT头
    FreeLibrary(ntdllModule); // 释放DLL空间

    for (WORD i = 0; i < hookedNtHeader->FileHeader.NumberOfSections; i++) { // 遍历PE文件每个节(Section)(代码段、数据段等),WORD是因为NumberOfSections是16位无符号整数
        /*
        * IMAGE_FIRST_SECTION(hookedNtHeader)为第一个节的地址
        * IMAGE_SIZEOF_SECTION_HEADER为一个节的大小
        * DWORD_PTR为无符号整数,便于在指针加法中进行偏移量计算
        * 加起来就是当前节
        */
        PIMAGE_SECTION_HEADER hookedSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD_PTR)IMAGE_FIRST_SECTION(hookedNtHeader) + ((DWORD_PTR)IMAGE_SIZEOF_SECTION_HEADER * i));

        if (!strcmp((char*)hookedSectionHeader->Name, (char*)".text")) { // 是代码段
            DWORD oldProtection = NULL; // 用于接收修改前的访问权限
            // 代码段改为可读可写可执行权限
            VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, PAGE_EXECUTE_READWRITE, &oldProtection);
            // 用ntdll原本的代码段进行覆盖
            memcpy((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), (LPVOID)((DWORD_PTR)ntdllMappingAddress + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize);
            // 代码段改回原权限
            VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, oldProtection, &oldProtection);
        }
    }
}

int main() {
    // InlineHook(); // 要将UnHookNtdll改为user32.dll
    UnHookNtdll();
    MessageBox(0, L"1", L"1", MB_OK);
    return 0;
}

网安星星
关注
网络靶场实战-杀软EDR对抗-脱钩
蛇矛实验室
04-25 1167
一般的杀毒软件会在我们进程启动的时候注入DLL到进程中,然后对系统函数进行Hook(挂钩).从而拦截我们进程的执行流程,当然这个流程只针对于未被添加到白名单的程序.我们来看下效果图.这里我设置了白名单为apps目录,在次目录下不会被检测.我们运行一个系统自带的软件Notepad来看下效果.首先X64dbg附加进程我们随便搜索一个函数看看是否被HOOK
探索Windows内核钩子的解构:unhook
gitblog_00031的博客
06-20 258
探索Windows内核钩子的解构:unhook库 iat_unhook_sample(First Public?) Sample of unhooking ntdll (All Exports & IAT imports) hooks in Rust using in-memory disassembly, avoiding direct syscalls and all hooked func...
老生常谈杀软特性 免杀数字你也行
qq_63217130的博客
08-27 983
这篇文章主题无疑是免杀,但是不会仅仅针对某一钟技术或者思路,可能会同时讨论多种技术。读完你会收获这些内容:免杀学习的方法、免杀的一些小的,但是很有威力的知识点。一些学习免杀、写免杀🐎、对抗杀软的一些技术的普遍误区。一些老生常谈技术的升级版。不再畏惧某数字杀软
关于hook ntdll 代码详解
qq_63217130的博客
03-26 436
节的头是连续的 每个节的头的大小 即IMAGE_SIZEOF_SECTION_HEADER都等于40。节头存放的是节的各种信息包括 节的名称、虚拟地址、大小等但是 不是存放的具体内容。关于代码中的IMAGE_SIZEOF_SECTION_HEADER。找一个dll看看 确实节的头是连续 也确实大小是 5*8=40字节。
如何使用Unhook技术绕过安全软件的防护?
weixin_34021089的博客
09-20 607
本文讲的是如何使用Unhook技术绕过安全软件的防护?, Code hook是用于将计算机的执行流重定向以修改软件的技术。通常来说,软件开发者是能通过hook,查看与系统进程进行交互的过程。Code hook可以执行各种各样善意和恶意的功能,包括: 修复bug 功能监控 禁用数字权限管理系统 捕获键盘事件 隐藏进程和文件(例如rootkit,它的功能是...
注入应用绕过活体检测_【渗透实战】如何利用API unhooking执行进程注入,绕过Bitdefender安全检测...
weixin_26833503的博客
01-28 1382
点击上方蓝字关注我们1概述绕过AV/EDR等端点检测是红队行动过程中的一项重要工作,在开始进行绕过时,我们需要先了解这些防护软件的工作方式。网络上公布了大量安全产品的工作原理以及绕过方法。本文主要分享如何利用Windows API unhooking 技术绕过Bitdefender安全防护软件,以下为演示视频:2什么是API Hooking?API hooking是一种用于拦截和检查w...
Detours简介 拦截x86机器上的任意的win32 API函数
ffghggf的博客
11-15 445
Detours简介 拦截x86机器上的任意的win32 API函数
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 9924
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
Dexposed源码分析
CodeHerder的博客
05-21 2600
Dexposed源码分析     Dexposed框架可以用来实现热补丁功能和AOP编程功能,在AOP编程功能的基础上我们可是实现事件自动埋点、程序性能监控和日志记录等等功能。整个Dexposed框架中最为重要的功能点是实现Java方法的hook,可以说Java方法的hook是Dexposed框架实现热补丁功能和AOP编程框架的基石。而Dexposed框架通过修改虚拟机内部描述Java方法的数据
Xposed 实现原理分析
l0neman 的博客
10-11 3866
Xposed 实现原理分析 文章目录Xposed 实现原理分析前言Xposed 使用方法Xposed 原理概述Android zygote 进程基于 Dalvik 的方法 Hook基于 ART 的方法 HookXposed 工作流程Xposed 项目结构XposedXposedBridgeXposedInstallerandroid_artXposedToolsXposed 源码分析Xposed 安装下载直接刷入使用 recovery 刷入Xposed 启动Native Java Xposed 模块加载
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4634
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
剖析Windows系统服务调用机制
IT民工
05-12 662
一> 序言 Windows系统服务调用是存在于Windows系统中的一个关键接口,常常称作System Call ,Sysem Service Call 或 System Service Dispatching等,在此我们就权且称之为Windows系统服务调用,它提供了操作系统环境由用户态切换到内核态的功能。虽然在国外关于Windows系统服务调用的讨论比较多,但却很少看到比较详细的中文资料,希望
bypass Bitdefender
hongduilanjun的博客
04-18 2365
渗透时,可能会遇到各种各样的的杀软,但每个杀软特性不同,在绕过前,往往都需要分析,本文就Bitdefender进行分析 最近在研究如何免杀,写了一个马,火绒 360 成功绕过(图有点少,当时没存,火绒测试是用的同学的物理机,两台,还有一台没截图;360是虚拟机) 然后看到Askar大佬的文章,决定试试绕过Bitdenfender,先运行一下,说不定也过了呢(痴心妄想) 结果一运行,连马也给我删了,看看Bitdefender是如何检测的 检查我的exe,通过x64debug去调试: 发现这里竟然多了一
kubernetes网络(一)之calico详解
鲜少伟的博客
09-22 1156
本文介绍Kubernetes最流行的网络解决方案calico。
BGP相关知识笔记
Richardlygo的博客
09-23 1206
整个网络规模扩大,路由数量进一步增加,路由表与LSDB规模变大,路由收敛变慢,设备性能消耗加大为此在AS之间专门使用BGP协议进行路由传递,相较于传统的IGP路由协议:BGP基于TCP,只要能够建立TCP连接即可建立BGP只传递路由信息,不会暴露AS内的拓扑3。
C++ 解析 RDP 协议
道亦无名
09-22 366
远程桌面协议(Remote Desktop Protocol, RDP)是微软开发的一种网络通信协议,用于提供远程桌面会话服务。它允许用户通过网络连接至远程计算机,并像使用本地计算机一样操作远程系统。本文档将详细探讨在C++环境中如何解析RDP协议,涵盖协议次解析、连接过程管理、数据加密解密、功能数据处理、错误与异常处理以及协议版本适配等方面。
【计算机网络】--URL统一资源定位符
最新发布
weixin_65728773的博客
09-26 231
一个网站地址实例scheme——定义因特网服务的类型,常见的类型是httphost——定义域主机(http的默认主机是www)domain———定义因特网的域名,例如,jinyun.fun:port——定义主机上的端口(http默认端口号是80)path——定义服务器上的路径(如果省略,则文档必须位于网站的根目录)filename——定义文档/资源的名称。
python中暂停程序运行并按特定键继续
06-10
上述代码中,我们使用`keyboard.hook()`函数来绑定按键事件,当用户按下空格键时,就会触发`on_key_press()`函数,其中`keyboard.unhook_all()`函数用于取消按键事件的绑定。在程序暂停的阶段,我们使用`keyboard....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值