MadCHook详解

于 2024-06-24 08:00:00 发布
阅读量374 收藏 9
点赞数 5
分类专栏: 信息安全 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ARV000/article/details/139813153
版权

MadCHook详解


MadCHook 是一个强大的Windows API Hooking库,主要用于注入和挂钩(hook)Windows API函数。该库由madshi.net开发,广泛用于各种合法和恶意软件中进行API Hooking操作。API Hooking是一种技术,通过拦截和重定向API函数调用,可以修改或监视应用程序的行为。

MadCHook 功能概述

  1. API Hooking

    • 拦截系统API调用,修改函数行为。

  2. DLL注入

    • 注入DLL到目标进程,进行进程内操作。

  3. 进程间通信

    • 提供安全高效的进程间通信机制。

  4. 支持多种Hooking方法

    • Inline Hooking、IAT Hooking、EAT Hooking等。

使用MadCHook实现简单API Hooking

下面展示如何使用MadCHook实现一个简单的API Hooking示例。这个示例将拦截MessageBoxW函数,修改其行为。

步骤1:下载MadCHook库

从madshi.net获取MadCHook库,并解压到项目目录。

步骤2:创建一个DLL文件

创建一个DLL项目,编写以下代码:

// dllmain.cpp
#include <windows.h>
#include "madCHook.h"

// 声明原始的MessageBoxW函数类型
typedef int (WINAPI *MessageBoxW_t)(HWND, LPCWSTR, LPCWSTR, UINT);
MessageBoxW_t TrueMessageBoxW = NULL;

// 自定义MessageBoxW函数
int WINAPI HookedMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) {
    return TrueMessageBoxW(hWnd, L"Hooked!", lpCaption, uType);
}

// DLL入口点
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        InitializeMadCHook();
        // Hook MessageBoxW函数
        TrueMessageBoxW = (MessageBoxW_t)HookAPI("user32.dll", "MessageBoxW", HookedMessageBoxW);
        break;
    case DLL_PROCESS_DETACH:
        // 解除Hook
        UnhookAPI((PVOID*)&TrueMessageBoxW);
        FinalizeMadCHook();
        break;
    }
    return TRUE;
}
步骤3:编译DLL

使用Visual Studio或其他编译器将上述代码编译成DLL文件。例如,生成名为myhook.dll的文件。

步骤4:创建注入器

编写一个注入器,将上述DLL注入目标进程(例如,notepad.exe)。

// injector.cpp
#include <windows.h>
#include <tlhelp32.h>
#include <iostream>

DWORD FindProcessId(const std::wstring& processName) {
    PROCESSENTRY32 processInfo;
    processInfo.dwSize = sizeof(processInfo);

    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
    if (snapshot == INVALID_HANDLE_VALUE) {
        return 0;
    }

    Process32First(snapshot, &processInfo);
    if (!processName.compare(processInfo.szExeFile)) {
        CloseHandle(snapshot);
        return processInfo.th32ProcessID;
    }

    while (Process32Next(snapshot, &processInfo)) {
        if (!processName.compare(processInfo.szExeFile)) {
            CloseHandle(snapshot);
            return processInfo.th32ProcessID;
        }
    }

    CloseHandle(snapshot);
    return 0;
}

int main() {
    const std::wstring processName = L"notepad.exe";
    const std::wstring dllPath = L"C:\\path\\to\\myhook.dll";

    DWORD processId = FindProcessId(processName);
    if (processId == 0) {
        std::wcerr << L"Could not find process" << std::endl;
        return 1;
    }

    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processId);
    if (hProcess == NULL) {
        std::wcerr << L"Could not open process" << std::endl;
        return 1;
    }

    LPVOID pDllPath = VirtualAllocEx(hProcess, 0, dllPath.size() * sizeof(wchar_t), MEM_COMMIT, PAGE_READWRITE);
    WriteProcessMemory(hProcess, pDllPath, dllPath.c_str(), dllPath.size() * sizeof(wchar_t), NULL);

    HANDLE hThread = CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)LoadLibraryW, pDllPath, 0, 0);
    if (hThread == NULL) {
        std::wcerr << L"Could not create remote thread" << std::endl;
        VirtualFreeEx(hProcess, pDllPath, 0, MEM_RELEASE);
        CloseHandle(hProcess);
        return 1;
    }

    WaitForSingleObject(hThread, INFINITE);
    VirtualFreeEx(hProcess, pDllPath, 0, MEM_RELEASE);
    CloseHandle(hThread);
    CloseHandle(hProcess);

    std::wcout << L"Injection succeeded" << std::endl;
    return 0;
}
步骤5:编译注入器并执行

编译上述代码生成注入器可执行文件,然后运行注入器,将myhook.dll注入目标进程(如notepad.exe)。

injector.exe

运行效果

运行注入器后,打开记事本(notepad.exe),执行任何触发MessageBoxW函数的操作,你会发现所有的消息框内容被替换为“Hooked!”。

总结

MadCHook是一个强大的API Hooking工具,可以方便地实现各种进程注入和Hooking操作。通过了解和掌握这类工具的使用方法,可以帮助开发者进行系统调试、功能扩展,同时也有助于安全研究人员理解和防范潜在的安全威胁。在实际应用中,需要合理合法地使用这些技术,避免非法用途。

N阶二进制
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mhook钩子库,包含静态lib版和源码版
04-01
mhook钩子库,包含静态lib版和源码版.
用madCodeHook写的HookAPI源代码.mht
01-08
用madCodeHook写的HookAPI源代码.mht
madCHook.pas
06-04 1129
<br />//  madCHook.pas          version:  2.0   ?  date: 2003-08-10<br />//  ----------<br />//  API hooking, code hooking<br />//  ----------<br />//  Copyright (C) 1999 - 2003 www.madshi.net, All Rights Reserved<br />// **********<br /><br />// 2003-08-1
madcHook的dll逆向简说
浪子_三少(邮箱:basketwill@qq.com)
11-11 1411
madchook的技术比较成熟和稳定,但是却被木马等程序利用,以至于被许多杀毒软件直接报木马,所以修改madchook内特有字符名称,可以逃脱杀毒软件报毒,与查杀,主要的特殊的字符窜是他的内存映射名称和他的文件名称,但是不能直接修改驱动文件名,否则dll文件无法加载驱动,所以本人经过多次的反复动态调试与逆向分析,发现dll中的特有字符串都被加密了,包括驱动的名称,分析发现加密的方式很简单,就是
timedatectl详解
运维@小兵的博客
09-21 1万+
一、timedatectl输出解析 1.Local time 本地时间,初始值来自于RTC,由内核维护,系统启动之后和RTC就没有关系,通常等于RTC+时区值(如上图的本地时间=RTC+8) 2.Universal time 系统时间永远是UTC,在应用程序使用的时候转换为本地时间 3.RTC(real-time clock)time 指硬件时间,一般是主板上的特殊电路,专用于记录时间,有电池供电,不受服务器和操作系统的开启关闭影响。也称作BIOS时间。 需要注意的是:当/etc/sysconfig/cl
HttpServletRequest详解
心若静,风奈何
05-16 18万+
HttpServletRequest详解 HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。 获得客户机信息: getRequestURL() 返回客户端发出请求时的完整URL。 getRequestURI() 返回请求行中的参数部分。 ...
Vision Transformer详解
热门推荐
霹雳吧啦Wz
06-26 24万+
论文名称: An Image Is Worth 16x16 Words: Transformers For Image Recognition At Scale 论文下载链接:https://arxiv.org/abs/2010.11929 原论文对应源码:https://github.com/google-research/vision_transformer Pytorch实现代码: pytorch_classification/vision_transformer 文章目录前言模型详解Vision
xargs命令详解
运维@小兵的博客
06-11 3万+
概述 xargs可以读取标准输入和管道中的数据,用于弥补有些命令(如echo、kill、rm)不能从管道中读取数据的不足。 使用echo,输出结果为空,因为它不能从管道中读取数据 不指定程序时xargs默认会将数据传递给echo,上面的命令等价于 cut -d: -f1 /etc/passwd | xargs echo 选项 -0(数字零) xargs默认以空格、Tab制表符、回车符为分隔符和结束符,当有的文件本身包含空格时,就会出问题 xargs会把’hello world.txt’识别为两个文件
QValueAxis详解
04-06
QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解...
iptables 详解iptables 详解
12-02
iptables 详解
Meta标签详解
10-31
Meta标签详解
cdn技术详解
01-25
cdn技术详解,高清影印版,内含部分心得。 cdn技术详解,高清影印版,内含部分心得。
WebView详解
03-03
WebView详解
@Accessors 注解详解
小白一个
08-30 10万+
前言 1. @Accessors 源码 2. @Accessors 属性详解 2.1 fluent 属性 2.2 chain 属性 2.3 prefix 属性 前言 在你的工作中,有时候可能会看到@Accessors(chain = true)这样的注解,他是 lombok 插件包中的一个注解,那么它是什么意思呢? 1. @Accessors 源码 我们打开@Accessors 的源码可以看到: (1)该注解主要作用是:当属性字段在生成 getter 和 setter 方法...
Nginx 配置详解
Baimoc
10-24 8万+
Nginx 配置 文章目录Nginx 配置文件结构全局配置events 配置http 配置server 配置Rewrite一、地址重写,地址转发,重定向二、URL 重写语法:使用:三、if 指令使用1、变量匹配2、判断请求的文件是否存在3、判断手机访问4、其他四、防盗链1. 根据请求文件类型实现防盗链配置实列如下: 文件结构 整体结构为嵌套结构: 全局块:配置影响全局,包括运行 nginx 的用户组,进程存放,日志,配置文件等 events:配置影响 nginx 服务器与客户端的网络连接,包括进程最大连接
学习API HOOK,编写了一个winsock 的封包抓取程序,可免费使用;
weixin_33966365的博客
11-26 608
开发环境是:windows 2000 + delphi 7 监视API:recv,recvfrom,WSARecvEx,send,sendto,accept,bind,closesocket,connect socket 版本:wsock32.dll/*ws2_32.dll(暂时有兼容问题) 目前还不支持修改封包; 当前实现针对某个进程或多个选...
tcpdump 详解
最新发布
02-03
tcpdump是一款常用的网络抓包工具,它可以在命令行下捕获和分析网络数据包。通过tcpdump,我们可以实时监控网络流量、分析网络协议、调试网络问题等。 以下是tcpdump的一些详解: 1. 抓包过滤:tcpdump可以根据用户指定的过滤条件来捕获特定的数据包,例如根据源IP地址、目标IP地址、端口号、协议类型等进行过滤。 2. 抓包输出:tcpdump可以将捕获到的数据包输出到终端或者保存到文件中,方便后续分析和查看。 3. 抓包解析:tcpdump可以解析捕获到的数据包,显示各个协议层的信息,如以太网帧头部、IP头部、TCP/UDP头部等。 4. 抓包统计:tcpdump可以统计捕获到的数据包数量、流量大小、各个协议类型的分布等信息。 5. 抓包时间戳:tcpdump可以记录每个数据包的抓包时间戳,方便分析时确定数据包的时间顺序。 使用tcpdump需要一定的命令行操作经验,以下是一些常用的命令示例: 1. 监听指定网络接口:`tcpdump -i eth0` 2. 指定抓包数量:`tcpdump -c 100` 3. 过滤指定协议:`tcpdump tcp` 或 `tcpdump udp` 4. 过滤指定IP地址:`tcpdump host 192.168.0.1` 5. 过滤指定端口号:`tcpdump port 80` 6. 保存到文件:`tcpdump -w capture.pcap` 7. 从文件中读取并解析:`tcpdump -r capture.pcap`

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

N阶二进制

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值