3环hook
1.IAT hook
对于隐式链接的dll,其导出的函数在当前模块的IAT表中都能找到其函数地址。对于IAT表中的函数的调用,都是间接调用(汇编代码是ff 0x12345678,其中0x12345678是IAT表中某一项的地址,0x12345678指向的地址空间中存放着真正的函数地址)。我们可以通过将IAT表中特定的函数地址替换成我们自己的函数,来实现对指定函数的hook。注意:这种方法只对隐式链接的dll有效,对于动态加载的dll不生效。
2.EAT hook
hook方法与iat hook类似,都是对内存中pe文件进行修改。不过.EAT hook只对动态加载的dll有效。通过LoadLibrary加载dll后,修改导出表中指定函数的地址为我们自己的函数。之后在调用GetProcAdress时,获取到的就是我们自己函数的地址。
3.inline hook
inline hook是通过修改目标函数的部分二进制代码为jmp或者call指令,是其执行流程跳转到我们自己的逻辑中,执行完我们自己的逻辑后,再跳转回正常的逻辑。注意在我们的逻辑中需要注意堆栈、寄存器的处理,被我们覆盖掉的原始代码也需要在我们的逻辑最后执行一遍。
0环hook
1.SSDT hook
大部分3环系统函数最终都会调进0环,在系统服务表中都存在对应的0环函数来完成实际的功能。因此可以通过修改系统服务表中指定函数的地址实现hook.
2.IDT hook
IDT,中断描述符表。当调用int 2e或者int 3等指令时,2e或者3就是索引,通过索引在这张表中查找中断描述符。中断描述符中存储了跳转的地址(具体可以查看中断门描述符的结构),修改这里的地址实现IDT hook。参考:https://blog.csdn.net/qq_37232329/article/details/111404439