ring3下伪装进程名绕过HS 部分Inline hook (by 小枫)

最新推荐文章于 2023-11-13 11:32:00 发布
最新推荐文章于 2023-11-13 11:32:00 发布
阅读量3.4k 收藏
点赞数
分类专栏: 游戏应用逆向 文章标签: hook mfc null api 64bit system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OSReact/article/details/7738566
版权
本文介绍了一种在MFC环境中,通过伪装进程名为taskmgr.exe来绕过部分HS Inline Hook的方法。这种方法不需要进程注入或读写Hackshield的进程地址空间,但不适用于过保护。调用GetTaskMgr函数可实现该伪装效果。
摘要由CSDN通过智能技术生成

以前有人发过类似文章(或者说我抄袭了吧。),但是那个代码我测试了已经不能用了。貌似MFC上也会出错。这里我的代码可以在mfc上使用。
此方法不需注入就读写Hackshield的进程地址空间数据,以及其它API的Detour Hook。【不能用于过保护。】
HS白名单可用伪装的进程列表,

代码: 
 1. Name: patcher.exe
 2. Name: WerFault.exe
 3. Name: IAANTmon.exe
 4. Name: avp.exe
 5. Name: WmiApSrv.exe
 6. Name: xsync.exe
 7. Name: fssm32.exe
 8. Name: LGDCORE.exe
 9. Name: ACS.EXE
 10.Name: ITPYE.EXE
 11.Name: Joy2Key.exe
 12.Name: JOYTOKEYHIDE.EXE
 13.Name: JOYTOKEYKR.EXE
 14.Name: JOYTOKEY.EXE
 15.Name: DWM.EXE
 16.Name: WMIPRVSE.EXE
 17.Name: DK2.EXE
 18.Name: CSTRIKE-ONLINE.EXE
 19.Name: RAGII.EXE
 20.Name: EKRN.EXE
 21.Name: GOM.EXE
 22.Name: GAMEMON.DES
 23.Name: VAIOCAMERACAPTUREUTILITY.EXE
 24.Name: IPOINT.EXE
 25.Name: NMCOSRV.EXE
 26.Name: DEKARON.EXE
 27.Name: AUDIODG.EXE
 28.Name: NGM.EXE
 29.Name: TASKMGR.EXE
 30.Name: HGSCRAPEDITORHELPER.EXE
 31.Name: SE
最低0.47元/天 解锁文章
OSReact
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
d3d透视逆向篇:第1课: detours hook库 配置
mutashizhe的博客
12-11 1214
本逆向安全章节是我业余之间编写的,也借鉴了前辈的经验来给大家做一个简单的文字逆向安全教程,欢迎大家讨论和指正,共同学习。禁止非法用途。教程我从最简单的开始给大家做一个简单的讲解d3d9-d3d12。后面有更多的经验分享给大家。 第一课: detours hook库 配置 Detours是微软开发的一个hook函数库,可用于捕获系统API(最好不用框,用框架知识为了方便,用框架这种绝对封号,钩子最好...
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
x64伪装进程路径 过PCHunter xxx ARK
zhuhuibeishadiao
07-18 5464
https://github.com/ZhuHuiBeiShaDiao/PathModification 支持 x64下(win7 ~ win10 all) 对x64进程的路径修改 另外一种实现方法就是 傀儡进程
nProtect GameGuard(簡稱GameGuard或GG,其驅動程序為GameMon.des)是由韓國INCA互聯網開發的遊戲反作弊軟體。
最新发布
weixin_40191861的博客
11-13 937
nProtect GameGuard nProtect GameGuard(簡稱GameGuard或GG,其驅動程序為GameMon.des)是由韓國INCA互聯網開發的遊戲反作弊軟體。隨著網絡遊戲的興起,愈來愈多人利用外掛從中作弊,這促使GameGuard等反作弊軟體的誕生。GameGuard開發完成後,很快就被日本及韓國網絡遊戲商引入。隨後開設「網絡遊戲用戶通報中心」,傳送不正當或作弊之訊息。 nProtect GameGuard 預設的nProtect GameGuard起始圖片
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
绕过ring3inline hook
03-19
本文将详细讨论如何在Ring3环境下绕过inline hook,同时参考提供的Delphi源码进行分析。 首先,了解inline hook的工作原理。它通常是通过替换目标函数入口点的几条指令,将控制流导向hook函数,执行完hook代码后再...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
在本文中,我们将深入探讨如何利用SSDT来对抗ring0级别的inline hook,并通过这种方式绕过这种类型的hook。 首先,我们要理解ring0 inline hook的概念。在x86/x64架构的CPU中,操作系统运行在ring0特权级别,这是...
Inline Hook(ring3)的简单C++实现方法
09-04
Ring3级别,这意味着Inline Hook在用户模式下进行,这在Windows系统中是常见的实践。本文将详细探讨如何使用C++来实现一个简单的Inline Hook。 首先,我们需要理解Inline Hook的基本原理。Inline Hook通常涉及到...
Ring3_Inline_Hook.zip
05-02
Ring3层下的Inline Hook是最常用的Hook手段之一,是一种通过修改机器码的方式来实现hook的技术。 1、构造跳转指令。 2、在内存中找到欲HOOK函数地址,并保存欲HOOK位置处的前5个字节。(但其实并不一定就是5个字节,...
屏蔽hackshield的工具
12-09
可以通过DLL注入方法屏蔽街头篮球hackshield达到防封号的效果!
SuperPid修改进程PID工具驱动级.别.SP伪装进程工具
07-02
SuperPid修改进程PID工具界面是VB些的,底层驱动是C语言写的。作者提供源代码,可惜源代码要180元....如今先拿他的成品软件用用 。还有次工具 别为 "SP伪装进程"。说白了和 他之前的SuperHide差不多,只是SuperPid 进程不隐藏,只修改了进程PID,导致一个空壳进程
nProtect.e源碼
09-23
nprotect的易語言源碼.可以編程np程序
绕过HS保护的CRC校验
02-25
之前写一款游戏辅助研究了下原理 不同版本的HS原理大致相同 编译的时候可能需要更新一下基址
Inline Hook_inlinehook_x86_x64_64HOOK_
09-28
Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,从而在不改变原有函数调用结构的情况下,动态改变函数的功能或行为。这种技术在系统监控、恶意软件分析、游戏修改以及性能优化等...
Windows Practice_Dll&Hook_DetourHook
艺术人生的专栏
10-03 682
DetoursDetours是经过微软认证的一个开源软件,下载地址,虽然是开源软件,但是它又分成了两个版本,分别是: Detours Professional 3.0 is available for commercial use. Detours Express 3.0 is available for immediate download under a no-fee license for r
【渗透测试】初探进程伪装
HBohan的博客
11-03 584
前言 当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。 我们知道在windows里面有很多系统进程,如winlogon.exe、explorer.exe、services.exe等等,这些exe都是Windows必须具有的exe,当缺失某些exe的时候,windows就不能够正常运行,所以我们如果想到实现进程伪装,最好的选择就是伪装成系统必备的exe,当我们进行进程伪装之后,
隐藏技术之进程伪装
weixin_42071117的博客
10-16 1568
// 简单的进程伪装就是修改进程称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
怎么使用lsm hook部分函数,监控inline hook行为
04-29
如果要监控inline hook行为,可以通过LSM hook部分函数来实现。 具体实现方法如下: 1.在内核中实现一个新的LSM模块,通过注册钩子函数来监控inline hook行为。 2.在该模块中实现以下钩子函数: - file_alloc_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值