IAT HOOK、EAT HOOK和Inline Hook

最新推荐文章于 2022-03-04 10:39:53 发布
最新推荐文章于 2022-03-04 10:39:53 发布
阅读量5.7k 收藏 5
点赞数 1
分类专栏: windows平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CoderAldrich/article/details/54376468
版权

导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下:

1. 通过GetProcAddress获取目标函数地址

2. 在程序内存中找到所在dll的导入表

3. 查找目标函数地址保存的位置

4. 把地址修改为自己补丁函数


导出表hook原理跟导入表相同,步骤也差别不大

但是二者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部调用自身时不会执行补丁代码,因此最好的方法是Inline hook,如微软的detour库采用的方法,修改函数开头几个字节的机器码,使执行流程一进入函数就调到补丁代码,执行完补丁代码后在另外一个地方执行函数原来几个字节的代码(此处并不还原开头几个字节机器码),然后然后跳转到原函数patch后面的指令继续执行,永久的改变了函数内容。因为微软detour库有自带反汇编引擎,因此无需担心会破坏接下来执行的完整性,如果自己手动实现的话,需要先观察函数开头的执行,做到指令对齐,以免破坏patch后指令的完整导致执行崩溃。

CoderAldrich
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存注入(IAT HookInline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
4.4 EAT Hook 挂钩技术
最新发布
CSDN
09-15 4356
EAT(Export Address Table)用于修改动态链接库(DLL)中导出函数的调用。与`IAT Hook`不同,EAT Hook是在DLL自身中进行钩子操作,而不是修改应用程序的导入表。它的原理是通过修改DLL的导出函数地址,将原本要导出的函数指向另一个自定义的函数。这样,在应用程序调用DLL的导出函数时,实际上会执行自定义的函数。与IAT不同是EAT存放的不是函数地址,而是导出函数地址的偏移,使用时需要加上指定Dll的模块基地址,当Hook挂钩之后,所有试图通过导出表获取函数地址的行为都会受到
导出表钩子EAT HOOK解析
輚至消亡
07-06 2979
EAT HOOKIAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出表的地址(注意这里是RVA要加上ImageBa...
【原创】导出表钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4319
看了combojiang大侠的rootkit专题,发现少了一个导出表钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出表钩子比导入表钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
Hook 学习
poet_lj的专栏
05-21 956
转自:http://www.cppblog.com/weiym/archive/2013/10/30/203991.aspx 在Window平台上开发任何稍微底层一点的东西,基本上都是Hook满天飞, 普通应用程序如此,安全软件更是如此, 这里简单记录一些常用的Hook技术。 SetWindowsHookEx 基本上做Windows开发都知道这个API, 它给我们提供了一个拦
IAT Hook 原理分析与代码编写
CSDN
10-30 4828
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
C++封装IATHOOK类实例
09-04
在C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
iat输入表hook的源码
09-14
IATHook技术是一种常用的系统钩子技术,用于拦截和修改其他进程中的函数调用,从而实现诸如调试、监控、注入代码等功能。以下是对"IAT输入表hook的源码"进行详细解释的知识点: 1. **导入地址表(IAT)** - IAT是PE...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
易语言IATEAT Hook例程纯源码
05-19
易语言IATEAT Hook例程纯源码
通过修改DLL文件的IAT表来实现的hook开发包源码
06-17
通过修改DLL文件的IAT表来实现的hook开发包源码
[易语言源码]-雷氏IATHOOK的写法
05-06
[易语言源码]-雷氏IATHOOK的写法
8种HOOK技术
liuhaidon1992的博客
01-07 5388
1.IAT_HOOK IAT是程序中存储导入函数地址的数据结构,如果HOOK了导入函数地址。就可以在函数调用的时候,将函数流程HOOK到我们指定的流程。但是我个人觉得这种方式最好要结合DLL注入的方式,如果单纯的使用HOOK,那么就需要将需要执行的操作的shellcode写入目标进程,如果操作复杂,可能需要的shellcode量特别大,所以我们需要借助DLL注入,这样就将我们需要执行的代码写入...
二、C++反作弊对抗实战 (进阶篇 —— 8.认始 EAT IAT HOOK)
Koma的主页
03-04 703
IATEAT HOOK示例
IAT HOOK
friendan的专栏
07-22 1884
最近需要用到IAT HOOK,我方便自己,参考了网上的例子,自己封装成了一个类。 首先是PE头定义,文件PE.h #ifndef _PE_H_ #define _PE_H_ #include /**************************************/ /* PE DOS头,占64个字节, */ /* 我们只关心e_magic和e_lfanew */ /**
PCHunter初学习
热门推荐
qq_37954088的博客
06-28 1万+
一、PCHunter简介 PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。 二、PCHunter功能 进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 内核驱动模块查看,支持内核驱动模块的内存拷贝 SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检
EAT/IAT Hook
weixin_30794499的博客
08-21 144
标 题:EAT/IAT Hook 作 者: Y4ng 时 间: 2013-08-21 链 接:http://www.cnblogs.com/Y4ng/p/EAT_IAT_HOOK.html #include <windows.h> #include <shlwapi.h> #include <wchar.h> DWORD MyZwGetC...
C++ EAT / Hook
07-21 3391
EATIAT比较类似,我相信会IAT的肯定很多,起初我想写在C#上面 不过与 C# 遍历DLL导出函数 的方法很相似,只是两者在内存中的映射方式不同而已 Heh,首先我们需要把DLL映射到地址内存空间去 否则没有办法去置换函数, 当然EAT有一些缺点,它必须在软件调用GetProcAddress函数之前替换DLL中 的函数,所以则出现了对GetProcAddress函数的一个Hook,否
"分析卡巴斯基HOOK引擎:反病毒软件技术综述
本文将主要讨论用户空间进程、内联HOOKIATEAT、虚拟地址描述符、隐藏注册表项、IDT、SSDT、MINI-FILTER、IRP、TDI HOOKING、CALLBACKS等内容,并根据分析结果作出结论。 首先,我们将介绍卡巴斯基在用户空间的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值