IAT HOOK

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: Windows编程

iat hook,也就是修改导入表实现函数调用的hook(运行时hook本进程)。注:iat(import address table,导入函数地址表,在这里说明一下:导入表是image import table,导入函数地址表是 image import address table,这是两个不同的pe文件中的表)

要实现iat hook,首先得清楚iat和导入表的结构。pe文件中,不管是在硬盘上的文件,还是内存中的映像,导入表和iat都会存在,而且在硬盘上和在映像中的组织方式相同(但是整个pe文件在硬盘上和在内存中的组织方式有很大不同)。pe文件的结构在这篇文章中不会讨论太多,但是理解这篇文章需要pe文件结构的知识,请在了解pe文件结构的情况下阅读这篇文章,如果还不了解,可以参考这本书:windows pe权威指南,写的非常详尽,特别是pe文件头和各种表。

pe文件中的导入表的起始是一组叫做image_import_descriptor的结构体,每一个结构体20个字节,对应于一个模块,以一个全0的结构体结束。用汇编定义如下:
IMAGE_IMPORT_DESCRIPTOR STRUCT 
  union 
    Characteristics dd ? 
    OriginalFirstThunk dd ? 
  ends 
  TimeDateStamp dd ? 
  ForwarderChain dd ? 
  Name1 dd ? ; 我们需要关注这一个成员
  FirstThunk dd ? ;还有这一个成员

IMAGE_IMPORT_DESCRIPTOR ENDS

这里我们只关心在内存中他们会指向哪里,而不关心在硬盘上的文件,所以我们的hook是在运行时完成的。上面的结构体中,Name1是一个rva(relative virtual address,相对虚拟地址),也就是说它是一个相对于imagebase(模块基地址)的一个偏移,模块基地址可以用GetModuleHandle(ModuleName)来获取,如果ModuleName我们传入NULL,可以获取这个函数在被执行时所在的模块。Name1指向的是什么呢?

我们前面说过,每一个IMAGE_IMPORT_DESCRIPTOR对应于一个模块,这个Name1指向的就是这个模块的名字(以0结尾什么的就不需要我说明了)。FirstThunk也是一个rva,它指向Name1对应的动态链接库的所有的被当前程序导入了的函数,实际上它指向的地方就位于iat中,可以说导入表和iat是你中有我,我中有你。那么iat到底是怎么组织的呢?参考下面:
  链接库A导入函数1的地址
  链接库A导入函数2的地址
  00000000
  链接库B导入函数1的地址
  链接库B导入函数2的地址
  链接库B导入函数3的地址

  00000000

   ..................

iat是分成一块一块的,每一块对应于一个被程序导入的动态链接库,每一块都是一个接一个的地址,最后以双字的0表示这一个模块的函数地址已经全部存储好了。实际上,在硬盘上iat的组织方式不是这样的,但是我们只关心在内存中它是怎样组织的。了解了上面的知识后,我们就可以看看当我们在程序中,当调用一个函数的时候到底发生了什么。比如下面这句:int pid=GetCurrentProcessId();

我们要分解的就是GetCurrentProcessId到底是怎么完成的。GetCurrentProcessId()位于kernle32.dll中,如果我们在程序中调用了这个函数,编译链接器就知道,我们的程序在运行的时候需要知道GetCurrentProcessId在内存的哪个位置,于是就在pe文件中的导入表中加入一个image import descriptor,结构中的Name1指向一个字符串kernel32.dll,这样,pe加载器在将我们的程序加载到内存中时,它就知道,我们的程序需要调用kernel32.dll中的函数,它就把kernel32.dll映射到我们的进程的空间中(要深入说明这个很复杂,我们可以简单的理解为,我们的程序的地址空间中已经把整个的kerner32.dll映射了)。

虽然这个需要的dll已经映射好了,但是我们要的函数的地址放在哪里呢?这里就是iat起作用的地方了,仔细看上面的iat的组织方式,我们假设链接库A就是kernel32.dll,那pe加载器在加载的时候,就把GetCurrentProcessId的地址放到上面那个结构中“链接库A导入函数1的地址”那个地方。

OK,我们假设需要的kernel32.dll已经映射好了,我们要用的函数的地址也找到了并且放到了前面说的那个地方,程序中调用这个函数的时候到底怎么跳转的呢?如果反汇编的话,它就变成下面这个模样:(地址我随意写的,大概这样)
0x00400078  call 0x00403456
      .
      .
0x00403456  jmp [0x00401234]
而在0x00401234里面放的是这个东西:0x7c8099b0,那上面的jmp就跳到x07c8099b0开始执行。再看看上面这个流程,在0x00400078这个地方,有一个call指令,这个call指令就是代替源程序中的GetCurrentProcessId()这一句。call到0x00403456后,发现是一个jmp指令,jmp到的地方是0x00401234这个地址中存放的一个地址,也就在是先到0x00401234中取出一个双字值X,然后跳转到X处开始执行。

这个流程有点拐弯抹角,可以仔细看看。重要的地方在0x00401234,这个地方存放的就是GetCurrentProcessId()的地址,而0x00401234自己在的地方就是iat中,就是前面的“链接库A导入函数1的地址”在的地方。 理解了上面的call流程,我们就可以想想,如果我们把0x00401234这个地址里面的东西换掉,它不是原来是0x7c8099b0吗,也就是GetCurrentProcessId()函数在内存中的位置吗,我们把它换成0x00400000,或者随便什么东西,0x00000000什么的,如果我们的程序中,在后面调用GetCurrentProcessId()的时候,它就跑到我们写的那个地方去了。

栗子:

// .H
#pragma once
#include "stdafx.h"

BOOL ImportAddressTableHook(IN HMODULE hModule, IN LPCSTR pImageName, IN LPCVOID pTargetFuncAddr, IN LPCVOID pReplaceFuncAddr);

DWORD WINAPI GetCurrentProcessId_Hook()
{
	// to do...
	MessageBoxA(NULL, "This is GetCurrentProcessId_Hook", "caption", MB_OK);
	return 0;
}

int WINAPI MyMessageBoxW(
	__in_opt HWND hWnd,
	__in_opt LPCWSTR lpText,
	__in_opt LPCWSTR lpCaption,
	__in UINT uType)
{
	//todo ...
	return MessageBoxA(NULL, "This Is MyMessageBoxW!", "caption", MB_OK);
}

BOOL Rookits(IN HMODULE hModule, IN LPCSTR pImageName, IN LPCSTR pTargetFuncName, IN LPVOID pReplaceFuncAddr)
{
	LPDWORD pTargetFuncAddr = NULL;
	HMODULE hLib = LoadLibraryA(pImageName);
	if (NULL != hLib)
	{
		pTargetFuncAddr = (LPDWORD)GetProcAddress(hLib, pTargetFuncName);
		return ImportAddressTableHook(hModule, pImageName, pTargetFuncAddr, pReplaceFuncAddr);
	}

	return FALSE;
}

BOOL ImportAddressTableHook
(
	IN HMODULE hModule,
	IN LPCSTR pImageName,
	IN LPCVOID pTargetFuncAddr,
	IN LPCVOID pReplaceFuncAddr
	)
{
	IMAGE_DOS_HEADER* pImageDosHearder = (IMAGE_DOS_HEADER*)hModule;
	IMAGE_OPTIONAL_HEADER* pImageOptionalHeader = (IMAGE_OPTIONAL_HEADER*)((DWORD)hModule + pImageDosHearder->e_lfanew + 24);
	IMAGE_IMPORT_DESCRIPTOR* pImageImportDescriptor = (IMAGE_IMPORT_DESCRIPTOR*)
		((DWORD)hModule + pImageOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

	while (pImageImportDescriptor != 0)
	{
		LPCSTR pszModName = (PSTR)((PBYTE)GetModuleHandle(NULL) + pImageImportDescriptor->Name);
		if (_stricmp(pszModName, pImageName) == 0)
			break;
		pImageImportDescriptor++;
	}

	if (pImageImportDescriptor == NULL)
		return FALSE;

	IMAGE_THUNK_DATA* pImageThunkData = (IMAGE_THUNK_DATA*)((DWORD)hModule + pImageImportDescriptor->FirstThunk);
	if (pImageThunkData == NULL)
		return FALSE;
	
	while (pImageThunkData->u1.Function)
	{
		LPDWORD lpFunctionAddress = (LPDWORD)&(pImageThunkData->u1.Function);
		if (*lpFunctionAddress == (DWORD)pTargetFuncAddr)
		{
			MEMORY_BASIC_INFORMATION mbi;
			VirtualQuery(mbi.BaseAddress, &mbi, sizeof(MEMORY_BASIC_INFORMATION));
			VirtualProtect(mbi.BaseAddress, mbi.RegionSize, PAGE_EXECUTE_READWRITE, &mbi.Protect);

			if (!WriteProcessMemory((HANDLE)-1, lpFunctionAddress, &pReplaceFuncAddr, sizeof(lpFunctionAddress), NULL))
			{
				return FALSE;
			}

			DWORD dwProtectOld;
			VirtualProtect(mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwProtectOld);
			return TRUE;
		}
		pImageThunkData++;
	}
	return FALSE;
}


#pragma pack(1)
typedef struct _JMPCODE
{
	BYTE jmp;
	DWORD addr;
}JMPCODE, *PJMPCODE;

typedef FARPROC (WINAPI* GETPROCADDRESS)(
	_In_ HMODULE hModule,
	_In_ LPCSTR lpProcName);

typedef int (WINAPI* MESSAGEBOXA)(
		_In_opt_ HWND hWnd,
		_In_opt_ LPCSTR lpText,
		_In_opt_ LPCSTR lpCaption,
		_In_ UINT uType);


typedef int (WINAPI* MESSAGEBOXW)(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCWSTR lpText,
	_In_opt_ LPCWSTR lpCaption,
	_In_ UINT uType);

GETPROCADDRESS realGetProcAddress = NULL;

_declspec(naked) FARPROC WINAPI MyGetProcAddress(
	_In_ HMODULE hModule,
	_In_ LPCSTR lpProcName)
{
	_asm
	{
		push ebp
		mov ebp, esp
	}

	// 如果是MessageBoxW, 把MyMessageBox返回
	if (hModule == ::GetModuleHandle(L"user32.dll") && _strcmpi(lpProcName, "MessageBoxW") == 0)
	{
		_asm
		{
			mov eax, MyMessageBoxW;
			mov esp, ebp
			pop ebp
			ret
		}
	}
	else{
		_asm
		{
			mov ebx, realGetProcAddress
			add ebx, 5
			jmp ebx
		}
	}
}

void Hook_GetProcAddr()
{
	realGetProcAddress = GetProcAddress;

	JMPCODE jumpCode;
	jumpCode.jmp = 0xe9;
	jumpCode.addr = (DWORD)MyGetProcAddress - ((DWORD)realGetProcAddress + 5);

	DWORD dwNewProtect = PAGE_EXECUTE_READWRITE;
	MEMORY_BASIC_INFORMATION mbi;
	VirtualQuery(realGetProcAddress, &mbi, sizeof(MEMORY_BASIC_INFORMATION));

	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, dwNewProtect, &mbi.Protect);
	WriteProcessMemory(GetCurrentProcess(), realGetProcAddress, &jumpCode, sizeof(jumpCode), NULL);
	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwNewProtect);
}

void UnHook_GetProcAddr()
{
	BYTE backCode[5] = { 0 };
	backCode[0] = 0x8B;   // mov edi, edi
	backCode[1] = 0xFF;
	backCode[2] = 0x55;   // push ebp
	backCode[3] = 0x8B;   // mov ebp, esp
	backCode[4] = 0xEC;

	DWORD dwNewProtect = PAGE_EXECUTE_READWRITE;
	MEMORY_BASIC_INFORMATION mbi;
	VirtualQuery(GetProcAddress, &mbi, sizeof(MEMORY_BASIC_INFORMATION));

	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, dwNewProtect, &mbi.Protect);
	WriteProcessMemory(GetCurrentProcess(), GetProcAddress, backCode, sizeof(backCode) / sizeof(backCode[0]), NULL);
	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwNewProtect);
}

//.CPP
#include "stdafx.h"
#include "Demo1.h"
#include <iostream>
using namespace std;

int main()
{
	Rookits(::GetModuleHandle(NULL), "User32.dll", "MessageBoxW", MyMessageBoxW);

	Hook_GetProcAddr();
	MessageBoxW(NULL, L"hello world2", L"caption", MB_OK);

	MESSAGEBOXW MBW = (MESSAGEBOXW)GetProcAddress(GetModuleHandleA("User32.dll"), "MessageBoxW");
	if(MBW)
		MBW(NULL, L"hello world3", L"caption", MB_OK);

	MESSAGEBOXA MBA = (MESSAGEBOXA)GetProcAddress(GetModuleHandleA("User32.dll"), "MessageBoxA");
	if (MBA)
		MBA(NULL, "hello world4", "caption", MB_OK);

	UnHook_GetProcAddr();

	//Rookits(::GetModuleHandle(NULL), "KERNEL32.dll", "GetCurrentProcessId", GetCu
	//cout << "current pid :  " << GetCurrentProcessId() << endl;

	system("pause");
    return 0;
}

此例子中:只修改了EXE的IAT和实现了使用GetProcAddresss的方式如何HOOK,栗子中的Hook_GetProcAddr采用的API HOOK

优化点:

1.枚举所有模块实现用IAT HOOK

2.API HOOK LoadLibrary相关API,当新的模块被加载后,为新的模块实现HOOK

检测被IAT HOOK的方法:

通过函数地址是否在某一个范围内(用户区 or 内核区,是否在原模块的地址空间范围内)。

参考如下:

http://bbs.pediy.com/showthread.php?p=1161499

http://bbs.pediy.com/showthread.php?p=1287440

FlowShell
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
修改PE文件引入表实现加载DLL
威化饼的一隅
04-08 2732
文章目录内容简介DLL结构DLL的编译链接(VS命令行中)DLL的加载使用的DLL源代码PE文件关键结构MZ头NT映像头可选头部引入表IDT、INT、IAT关系代码实现思路关键数据结构节表IDT项验证结果 内容简介 编写Func.dll,并编写一个EXE程序,该程序能够加载Func.dll,并调用Func.dll中的导出函数,在加载Func.dll的时候,会弹出计算器calc.exe。 使用PE...
我的学习笔记之二——修改导入表HOOK API(ring3_iat_exe_hook_Messagebox)
weixin_30408165的博客
12-23 97
IATImport Address Table 是PE(可以理解为EXE)的输入地址表,我们知道一个程序运行时可以要调用多个模块,或都说要调用许多API函数,但这些函数不一定都在EXE本身中,例如你调用Messagebox来显示一个对话框时,你只需要调用它,你并没有编写Messagebox的函数的实现过程,Messagebox的函数的实现过程实际上是在user32.dll这个库文件中,当这个程序...
手动添加导入表修改EXE功能
天使也掉毛
10-30 5932
手动添加导入表修改EXE功能
检测IAT HOOK----进程内存中的IAT
草原Song
06-01 1244
检测IAT HOOK----进程内存中的IAT        昨天写的是磁盘的IAT.现在是内存的IAT.接着进行比较就可以得到IAT HOOK了用OpenProcess和ReadProcessMemory读取你想读的进程..然后按照PE文件格式来解释读到的数据,lpBase就是读
IAT Hook
Tandy12356_的博客
05-26 1793
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
IAT随便HOOK+反检测方法
kingswb的博客
06-15 3967
IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。 用法: Code:     HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);     HookImage(
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
C++封装IATHOOK类实例
09-04
在C++编程中,IATHOOKImport Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
Hook IAT hookdll资源表
11-21
`IATHook.cpp`是实现部分,而`IATHook.h`是头文件,包含接口声明和必要的类型定义。 4. **API HOOK IAT方法**: 实现Hook IAT有多种方法,包括: - **原地替换法**:直接修改目标进程的IAT,用钩子函数的地址替换...
Native API 和一般 API 的 IAT Hook
09-03
标题中的“Native API 和一般 API 的 IAT Hook”是指在编程中使用钩子技术来拦截和修改系统调用或库函数的行为。IATImport Address Table)是Windows操作系统中的一个概念,它存储了程序在运行时如何访问导入的...
4.3 IAT Hook 挂钩技术
最新发布
CSDN
09-15 1万+
IATImport Address TableHook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 646
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
DLL注入_修改导入表(1)
余韵
11-09 1427
PE文件分析 (一) 替换DLL函数 通过修改PE文件导入导出表来更改函数。单纯分析PE文件是一件比较无聊的事,通过修改可以更加灵活的利用和理解PE文件。这就像生活一样,总要有一些特别的事,才能更加有灵感。学习本身就是生活的一部分,如何让程序更加灵活,是一个比较值得去实践的事,可以更加接近计算机的一些思想。 (二) 环境 VC++ 6.0 为了减少复杂度,用VC++ 6.0编译sum.cpp su...
C++ Hook IAT (基于IATHook实践)
一个工具的觉悟
10-07 5217
本实践基于HookImportFunction.cpp(h), 源自星际译王,代码附后 一. 使用方式   本实践由测试主程序部分与测试dll两部分组成,分别编译成功后,先运行test.exe,再使用dll注入工具将hookTest.dll注入到test.exe中,回车运行。 二. 测试主程序(test.exe) 1. 创建Win32控制台空项目文件 2. 创建应用程序入口文件(main
IAT-Hook 劫持进程Api调用
笔记本
05-28 2595
✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook的实现代码,后续再更新复制原始API部分代码的热补丁Hook和SSDT-Hook T_T 本来昨...
Hook进程IAT
u011569253的博客
05-10 632
这两天研究下IAT表的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单的hook IAT表。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IAT在PE文件中的位置,当你有了这些知识之后就可以对IAThook了。这里我就不对IAT表做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
memcpy hook
08-27
其中,修改函数代码的方式可以通过Inline hook实现,而修改函数地址的方式可以通过IAT hook、SSDT hook、IRP hook、IDT hook等方法实现。引用中给出了一个使用memcpy函数进行hook的示例代码。在这个示例中,先定义了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值