IAT Hook

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量677 收藏 2
点赞数 1
分类专栏: Hook PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dreamer12138/article/details/106163721
版权

IAT Hook 本质就是将PE的导入表中的IAT中指定函数的地址进行替换,从而实现Hook。

我的IAT Hook 是配合CreateRemoteThread进行注入Hook的。关于CreateRemoteThread请参照:CreateRemoteThread

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <tlhelp32.h>
#include <imagehlp.h>
#pragma  comment (lib, "imagehlp")
#include <tchar.h>

typedef int (WINAPI *PfnMsgW)(_In_opt_ HWND hWnd, _In_opt_ LPCWSTR lpText, _In_opt_ LPCWSTR lpCaption, _In_ UINT uType);

PfnMsgW __OldPfnMsgW = nullptr;
BOOL HookAPI(LPCSTR HookModule, LPCSTR HookFuncName, PfnMsgW HookFuncs);

int WINAPI MyMessageBox(_In_opt_ HWND hWnd, _In_opt_ LPCWSTR lpText, _In_opt_ LPCWSTR lpCaption, _In_ UINT uType)
{
	if (__OldPfnMsgW != nullptr)
	{
		return __OldPfnMsgW(hWnd, L"HookSuccess", lpCaption, uType);//调用以前的
	}
	return 0;
}


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:

		HookAPI("user32.dll", "MessageBoxW", MyMessageBox);

    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:

        break;
    }
    return TRUE;
}


BOOL HookAPI(LPCSTR HookModule, LPCSTR HookFuncName, PfnMsgW HookFuncs)
{
	//HookAddress = user32.dll!0x766a2530 (加载符号以获取其他信息)
	LPVOID HookAddress = GetProcAddress(GetModuleHandleA(HookModule), HookFuncName);

	__OldPfnMsgW = (PfnMsgW)HookAddress; //保存旧的函数指针.

	//在DLL内部调用GetModuleHandle(NULL),获取的是主模块(EXE)基址
	//ModuleHandle = test.exe!0x00380000 {unused = 0x00905a4d }
	HMODULE ModuleHandle = GetModuleHandle(NULL);

	ULONG ModuleSize = 0;

	PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(ModuleHandle,
		TRUE,
		IMAGE_DIRECTORY_ENTRY_IMPORT,
		&ModuleSize);

	DWORD Temp;
	PIMAGE_IMPORT_DESCRIPTOR   CurrentImportTable = pImport;
	DWORD *FirstThunk; //导入表子表,也就是IAT,存储函数地址的表.
	//遍历导入表
	while (CurrentImportTable->Characteristics && CurrentImportTable->FirstThunk != NULL)
	{
		Temp = CurrentImportTable->FirstThunk + (DWORD)GetModuleHandle(NULL);
		FirstThunk = (DWORD *)Temp;
		while (*FirstThunk != NULL)
		{
			//遍历子表
			if (*FirstThunk == (DWORD)__OldPfnMsgW)
			{
				//找到要修改的导入表了//修改内存保护属性.写入我们新的函数地址.
				DWORD oldProtected;
				VirtualProtect(FirstThunk, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);
				Temp = (DWORD)MyMessageBox;
				memcpy(FirstThunk, (DWORD *)&Temp, 4); //将变量中保存的函数地址拷贝到导入表中.
				VirtualProtect(FirstThunk, 0x1000, oldProtected, &oldProtected);
			}
			FirstThunk++; //继续遍历.
		}
		CurrentImportTable++; //每次是加一个导入表结构.
	}
	return TRUE;
}

写的过程中遇到以下一些问题。

1.ImageDirectoryEntryToData的头文件和链接库

2.在DLL内部调用GetModuleHandle(NULL),获取的是主模块(EXE)基址

   最开始我还用模块快照的方式获得的基址,想想都觉得hhh。

3.在遍历IAT时,注意指针的转换。

Dreamer12138
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
IAT HOOK
weixin_44711063的博客
03-11 543
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
深入IAT HOOK
无心的博客
07-13 2154
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入表,在调用函数的时候,我们CALL的是导入地址表的一个地址,为什么要调用这里,而且在构造导入表的时候,导入名称表(INT)和导入地址表(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT表的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT表的填写 在上一篇文章中,我们构造导入表的时候,将 IAT 表和 INT 表都
4.3 IAT Hook 挂钩技术
最新发布
CSDN
09-15 7421
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 569
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
C++封装IATHOOK类实例
09-04
主要介绍了C++封装IATHOOK类的实现方法,对IATHOOK实例进行了封装,非常具有实用价值,需要的朋友可以参考下
iathook:Windows kernelmode和usermode IAT挂钩
05-06
Windows kernelmode和usermode IAT挂钩Windows用户模式示例# include < windows>LONG IATHook (__in_opt void * pImageBase ,__in_opt char * pszImportDllName ,__in char * pszRoutineName ,__in void * ...
Hook IAT hookdll资源表
11-21
Hook IAT hookdll资源表
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
IAT(import address table) hook C++实例
09-13
C++ 通过导入表(IAT)实现inline hook,已经过测试
IAT+HOOK+纯手工出品+适合新手学习.zip
03-08
这个是用到了superEC和精易模块,其他就是几个简单的API(模块中自带). 搜索了一下论坛,2014年有个帖子,但是测试了一下不行,需要有dll.... 适合新手学习!大神勿喷. 注意事项: 1.易语言版本:5.8 2.调试模式不可以,需要编译出来,为了方便下载,编译后打包刚好超过3MB.就没编译. 3.易语言的信息框就是messageboxA,反而模块中的MessageBoxA却hook不到...没有看模块的源码,也不知道是哪个模块里面的.这里请教高手解答一下.. 4.界面很丑 讲一下这个hook的过程吧,比较有意思的,而且还有很大的拓展: 1.exe,dll可以统称为模块,dll其实和exe本质上是一样的.这里统称为PE文件. 2.当PE文件加载到内存的时候,导入表内保存的需要导入的函数列表,会被释放到内存,同时IAT表中原来的xx会被系统修改为真实的地址. 比如messagebox的真实地址就会被保存到进程空间的IAT表中!从此就不变了,除非重启. 3.那么如果我们自己做一个假函数(参数数量,参数类型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候, 就会跳转到我们的函数里面,我们的函数里面可以随意做任何事情.
通过修改DLL文件的IAT表来实现的hook开发包源码
06-17
通过修改DLL文件的IAT表来实现的hook开发包源码
Native API 和一般 API 的 IAT Hook
09-03
通过一种方式统一实现对Native API 和一般 API 的hook
IAT HOOK
azraelxuemo的博客
01-25 449
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改了IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2244
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
IAT Hook 原理分析与代码编写
CSDN
10-30 4810
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
IAT hook实现 (修改pe中的导入表实现hook)
&Ψ的博客
07-21 1369
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入表,导入表中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入表,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
memcpy hook
08-27
其中,修改函数代码的方式可以通过Inline hook实现,而修改函数地址的方式可以通过IAT hook、SSDT hook、IRP hook、IDT hook等方法实现。引用中给出了一个使用memcpy函数进行hook的示例代码。在这个示例中,先定义了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值