工控安全系统对抗之HOOK技术

最新推荐文章于 2023-07-14 14:23:14 发布
最新推荐文章于 2023-07-14 14:23:14 发布
阅读量414 收藏 2
点赞数 1
分类专栏: 工控安全
我是Alsn,那半个橘子是海上遇到大雨时侯的明亮橘色灯塔!
本文链接:https://blog.csdn.net/Alsn86/article/details/109174054
版权

一、 实验要求
分别采用IAT Hook和inline Hook技术对系统函数Hook

  1. 利用IAT Hook来挂钩user32.dll中的GetTopWindow函数,实现调用GetTopWindow会弹出提示框
  2. 利用Inline Hook技术实现对user32.dll中的MessageBoxA的Hook,实现弹框前,先Beep一声

提示:
考虑到inline Hook实现对新手较难,可以先使用mhook库或Detours库来实现
二、 源代码

#include "windows.h"

typedef
struct _IATHOOK_DATA 
{
	DWORD	dwValueAddr;	//IAT项中保存函数地址的地址
	DWORD	dwOriginValue;	//原始数据
	DWORD	dwNewValue;		//新的数据
}IATHOOK_DATA, *PIATHOOK_DATA;

DWORD IATHook(CHAR szDllName[], CHAR szFuncName[], PIATHOOK_DATA pIATHookData);
DWORD IATUnHook(PIATHOOK_DATA pIATHookData);

HWND WINAPI MyGetTopWindow(HWND hWnd);

IATHOOK_DATA	IATHookData;

int WINAPI WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd )
{
	IATHookData.dwNewValue = (DWORD)MyGetTopWindow;
	IATHook("user32.dll", "GetTopWindow", &IATHookData);
	GetTopWindow(NULL);
	return	0;
}

typedef
HWND (WINAPI *GETTOPWINDOW)(HWND hWnd);
HWND WINAPI MyGetTopWindow(HWND hWnd)
{
	GETTOPWINDOW	OriginGetTopWindow = (GETTOPWINDOW)IATHookData.dwOriginValue;
	Beep(300, 100);
	MessageBoxA(NULL, "GetTopWindow哦", "3170706006", MB_OK);
	
	return	OriginGetTopWindow(hWnd);
}


/************************************************************************/
/* 
功能:利用修改导入函数表中地址来hook函数
参数:szDllName-导入函数的dll名,szFuncName-函数名,pIATHookData-hook使用的数据
原理:通过判断IMAGE_THUNK_DATA中函数名来得到对应IAT中地址,修改导入函数表中函数地址
*/
/************************************************************************/
DWORD IATHook(CHAR szDllName[], CHAR szFuncName[], PIATHOOK_DATA pIATHookData)
{
	DWORD						dwBaseAddr;
	PIMAGE_DOS_HEADER			pDosHeader;
	PIMAGE_NT_HEADERS			pNtHeader;
	PIMAGE_OPTIONAL_HEADER		pOptHeaer;
	PIMAGE_THUNK_DATA			pThunk, pIAT;
	PIMAGE_IMPORT_DESCRIPTOR	pImportDes;
	DWORD						dwIndex;
	DWORD						dwOriginProtect;

	if (NULL == szDllName || NULL == szFuncName || NULL == pIATHookData)
	{
		return	ERROR_INVALID_PARAMETER;
	}

	//获取当前文件的基址
	dwBaseAddr = (DWORD)GetModuleHandle(NULL);
	if (NULL == dwBaseAddr)
	{
		return	GetLastError();
	}
	
	//从头计算得到引入表的地址
	pDosHeader = (PIMAGE_DOS_HEADER)dwBaseAddr;
	pNtHeader = (PIMAGE_NT_HEADERS)(dwBaseAddr + pDosHeader->e_lfanew);
	pOptHeaer = &(pNtHeader->OptionalHeader);

	pImportDes = (PIMAGE_IMPORT_DESCRIPTOR)(dwBaseAddr + pOptHeaer->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

	while (pImportDes->FirstThunk)
	{
		//判断是否是对应模块
		if (_stricmp((CHAR*)(dwBaseAddr+pImportDes->Name), szDllName))
		{
			pImportDes ++;
			continue;
		}

		//当PE文件被装载到内存时,PE装载器将查找IMAGE_THUNK_DATA 和 IMAGE_IMPORT_BY_NAME 这些结构数组,
		//以此决定引入函数的地址。然后用引入函数真实地址来替代由FirstThunk指向的 IMAGE_THUNK_DATA 数组里的元素值
		//若 OriginalFirstThunk 为0,就改用FirstThunk值。有些连接器生成PE文件时会置OriginalFirstThunk值为0,这应该算是个bug。
		pIAT = (PIMAGE_THUNK_DATA)(dwBaseAddr + pImportDes->FirstThunk);
		if (pImportDes->OriginalFirstThunk)
		{
			pThunk = (PIMAGE_THUNK_DATA)(dwBaseAddr + pImportDes->OriginalFirstThunk);
		}
		else
		{
			pThunk = pIAT;
		}

		dwIndex = 0;
		
		do 
		{
			//有些情况下一些函数仅由序数引出,对应该函数的 IMAGE_THUNK_DATA 值
			//的低位字指示函数序数,而最高二进位 (MSB)设为1。
			//32位时IMAGE_ORDINAL_FLAG = 0x80000000h。
			dwIndex = *(DWORD*)pThunk;
			if (dwIndex != 0)
			{
				if ((dwIndex & IMAGE_ORDINAL_FLAG) == 0)
				{
					//得到函数名,继续向后跳2字节
					if (strcmp((PCHAR)(dwBaseAddr + dwIndex + 2), szFuncName) == 0)
					{
						//找到了,先保存原始数据
						pIATHookData->dwValueAddr = (DWORD)pIAT;
						pIATHookData->dwOriginValue = *(DWORD*)pIAT;
						
						//修改IAT
						VirtualProtect(pIAT, 4, PAGE_EXECUTE_READWRITE, &dwOriginProtect);
						*(DWORD*)pIAT = pIATHookData->dwNewValue;
						VirtualProtect(pIAT, 4, dwOriginProtect, &dwOriginProtect);
						return	0;
					}
				}
			}
			//换下一个
			pThunk ++;
			pIAT ++;
		} while (1);
		//取下一模块
		pImportDes ++;
	}
	return	0;
}

/************************************************************************/
/* 
功能:修股
参数:
原理:
*/
/************************************************************************/
DWORD IATUnHook(PIATHOOK_DATA pIATHookData)
{
	DWORD	dwOriginProtect;

	VirtualProtect((PVOID)pIATHookData->dwValueAddr, 4, PAGE_EXECUTE_READWRITE, &dwOriginProtect);
	*(DWORD*)pIATHookData->dwValueAddr = pIATHookData->dwOriginValue;
	VirtualProtect((PVOID)pIATHookData->dwValueAddr, 4, dwOriginProtect, &dwOriginProtect);
	return	0;
}

三、 程序运行
然后电脑会滴的响一声
在这里插入图片描述

四、总结
通过本次实验,明白了利用IAT Hook来挂钩user32.dll中的GetTopWindow函数,实现调用GetTopWindow会弹出提示框,学会利用Inline Hook技术实现对user32.dll中的MessageBoxA的Hook,实现弹框前,先Beep一声

Alsn86
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
扣的CODE
07-20 1万+
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。   最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperat
win32的hook机制
独眼周的技术BLOG
03-10 917
你在楼下的问题其实涉及到了win32的hook机制,如果你看msdn中的setwindowshookex函数说明,你会发现,ms告诉你如果你想hook全局数据,你必须把hook代码写在dll中,如果你的hook代码在.exe中,则你只能hook本进程的数据.你想过这是为什么吗?win32抛弃了win16的全局内存的概念,每个进程有自己独立的内存空间,并且不受其他进程影响.这样一来所有代
R3下猥琐NTDLL钩子
cqyczj的专栏
04-25 1522
链 接: http://bbs.pediy.com/showthread.php?t=163658 在R3下对NTDLL里面的Zw函数的HOOK 大部分都是在函数前几个字节做HOOK,或者IAT之类的.这样的HOOK 虽然比较方便,不过也存在一个很大的弊端,就是函数HOOK 很容易被检测,所以我们需要一种更猥琐的HOOK方式.当然这只是相对.而不是真的很猥琐......
在Ring0下HOOK Ntdll.dllNt*函数的方法
weixin_30632883的博客
03-30 135
typedefstruct_SECTION_IMAGE_INFORMATION{ PVOIDEntryPoint; ULONGStackZeroBits; ULONGStackReserved; ULONGStackCommit; ULONGImageSubsystem; WORDSubsystemVersionLow; WORDSubsystemVe...
C#user32.dll内嵌方法使用详解
一只没有感情的AI机械猿
07-14 1602
Console.WriteLine("子窗口句柄: " + childWindowHandle);Console.WriteLine("窗口标题文本长度: " + titleLength);Console.WriteLine("窗口句柄: " + windowHandle);Console.WriteLine("未找到窗口句柄");// 调用 EnumChildWindows 函数来获取指定窗口的所有子窗口句柄。// 调用 EnumChildWindows 函数来枚举指定父窗口的所有子窗口。
Windows HOOK学习(一):简单的IAT HOOK
weixin_42777366的博客
03-27 929
(若文章有误的请放过,请在留言区告诉我修改一下) 1. 前言 由于毕设项目的需要,从一个毫无基础的小白(只会C语言基础,windows核心编程,汇编都一窍不通,学的很艰难啊),开始慢慢写Hook,记录一下学习过程和成果。 顺便梳理一下学到的知识。 2.准备工作 要学习Hook,当然首先要准备了解一下基础知识和准备编译器啦。 DLL:全名是Dynamic Link Library(动态链接库)。作用...
Window Hook 技术详解
cx1990820的专栏
08-20 8115
Hook简介 微软的MSDN中,对Hook的解释为: A hook is a point in the system message-handling mechanism where an application can install a subroutine to monitor the message traffic in the system and process certain
ssdthook技术实现防止进程关闭
04-21
使用ssdthook技术实现进程防止关闭功能,包含完整代码,代码注释齐全。
hook TrayClockWClass 系统时钟
最新发布
09-30
这个是我在网上找到的一份关于修改系统时钟的源码,功能类似于驱动人生公司出版的人生日历,代码非常有参考价值,至少照着他的源码hook系统时钟窗口的消息,以及修改绘制,截取按键消息,主要参考代码在source/dll...
基于Hook技术的Android平台隐私保护系统
01-20
针对Android中恶意应用窃取用户隐私的问题,设计并实现了一个基于Hook技术的隐私保护系统。该系统包括应用分类模块、隐私信息管理模块和共谋攻击管理模块。应用分类模块利用权限特征向量集构建分类模型,对手机上的...
浅谈macOS系统调用hook技术.png
11-05
浅谈macOS系统调用hook技术.png
Android Hook 技术之 绕过系统对Activity验证
07-18
【SDK热更系列】Android Hook 技术之 绕过系统对Activity验证 , 原理详见个人博客https://blog.csdn.net/u012573920/
User32.dll里面的__Clientxxx函数
赵文武的博客
02-24 850
Win32k里面调用3环下的函数,最终都是通过KiUserCallbackDispatcher,调用__Client***实现,这些函数主要负责参数的处理等工作.             通过ida在user32.dll可以看到如下的列表(在我这里ida并不能识别对应的符号,只能在windbg看). .text:77D66274                           
User32.dll详细介绍
z178443085
05-03 7690
User32.dll详细介绍 RegisterServiceProcess(ProcessID:Long,Type:Long) 该函数存在于Kernal32.dll中. Process指向进程的ID,Type表示是否向系统注册该进程,是1,否0. = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = ...
网络靶场实战-安全开发之应用层Hook技术
蛇矛实验室
12-13 383
IAT(import address table,导入地址表)是指PE文件格式中的一个表结构,说到IAT就离不开导入表,在实际的开发过程中,难免会使用到Windows API,这些API的代码保存在Windows提供的不同的DLL(动态链接库)文件中,DLL将这些API导出,在可执行程序中使用到其他DLL的代码或数据时,编译器会将这些导入的信息填充到可执行程序的导入表中。由于VEH的异常处理发生在之前,所以通过`主动抛出异常,使程序触发异常,进而使控制权交给异常处理例程的这一系列操作来实现Hook
HOOK钩子类
fstanwh的专栏
05-22 439
public class KeyHook { [DllImport("user32.dll", CallingConvention = CallingConvention.StdCall, CharSet = CharSet.Auto)] public static extern int CallNextHookEx(int idHook, int nCod
inline hook lookup系统调用
04-29
Inline hook 是一种用于修改或监视系统调用的技术。在操作系统中,系统调用是用户空间程序与内核之间的接口,用于执行特权操作,如文件读写、网络连接等。通过 inline hook 技术,可以在系统调用被执行前或执行后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值