无痕HOOK方式=硬断+VEH

最新推荐文章于 2024-05-17 09:39:53 发布
最新推荐文章于 2024-05-17 09:39:53 发布
阅读量1.1w 收藏 19
点赞数
分类专栏: DLL注入

无痕HOOK方式=硬断+VEH

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        {
            AddVectoredExceptionHandler(1, (PVECTORED_EXCEPTION_HANDLER)ExceptionHandler);
            SetHwBreakpoint();
        }
    case DLL_THREAD_ATTACH:
        {
            SetHwBreakpoint();
        }
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

void SetHwBreakpoint()
{
    CONTEXT ctx;
    ctx.ContextFlags = CONTEXT_ALL;
    GetThreadContext(GetCurrentThread(), &ctx);
    ctx.Dr0 = 0x6f3a20dd;
    ctx.Dr1 = 0x6f361f7b;
    ctx.Dr7 = 0x405;
    SetThreadContext(GetCurrentThread(), &ctx);
}

DWORD NTAPI ExceptionHandler(EXCEPTION_POINTERS * ExceptionInfo)
{
    if ((DWORD)ExceptionInfo->ExceptionRecord->ExceptionAddress == 0x6f3a20dd)
    {
        //直接改eip模拟jmp
        ExceptionInfo->ContextRecord->Eip += 0x34;
        return EXCEPTION_CONTINUE_EXECUTION;
    }
    else if ((DWORD)ExceptionInfo->ExceptionRecord->ExceptionAddress == 0x6f361f7b)
    {
        //直接设eax为零模拟mov eax,0
        ExceptionInfo->ContextRecord->Eax = 0;
        ExceptionInfo->ContextRecord->Eip += 5;
        return EXCEPTION_CONTINUE_EXECUTION;
    }
    else
    {
        //在异常handler里重设drx防止断点被意外清除
        ExceptionInfo->ContextRecord->Dr0 = 0x6f3a20dd;
        ExceptionInfo->ContextRecord->Dr1 = 0x6f361f7b;
        ExceptionInfo->ContextRecord->Dr7 = 0x405;
        return EXCEPTION_CONTINUE_SEARCH;
    }
}


YuHengZuo
关注
  • 0
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
无痕注入dll_如何在R3尽量完美的隐藏一个DLL
weixin_39669761的博客
12-19 2047
哈哈哈专栏开通啦!咳咳..这个专栏主要写一些和安全开发的东西,需要一定的相关知识,并且不(定期)更新,恩,就这样主要是前几天群里师傅提出了这个问题,所以就去实现下,现将操作记录与此0x01 从加载开始要注入一个DLL的方法很多,但是我们希望一切在Exe知道之前就能完成(这样最不容易被发现对不),所以NTCreateThread和置换Dll就显得不好使了NTCreateThread创建线程的时间靠后...
WIN10使用VEH+硬件断点实现不修改代码完成破解
hambaga的博客
09-01 4153
为什么要使用硬件断点? 有些程序会启动一个线程,实时检测代码节是否被修改,这样可以防止作弊者使用OD调试程序时下CC断点,这种技术叫全代码检测或CRC检测。为了绕过这种检测,大佬们想出了很多办法: 干掉CRC线程 干掉CRC函数的判断 绕过CRC检测的位置,到更底层去修改 硬件HOOK 其他HOOK,欺骗CRC检测函数(虚表HOOK) 干掉退出函数(ExitProcess) 本文介绍的是硬件断点(硬件HOOK)。 硬件断点原理 当执行到某个指令,DR0寄存器中存储了这条指令的地址,就会触发异常。如果使用
VEH HOOK
Doub1's Blog
04-10 1831
相关函数 我们只需要用到 AddVectoredExceptionHandler 设置VEH异常捕获 PVOID WINAPI AddVectoredExceptionHandler( _In_ ULONG FirstHandler, _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler ); U...
探索无痕安卓远程控制:520_APK_HOOK
最新发布
gitblog_00056的博客
05-17 333
探索无痕安卓远程控制:520_APK_HOOK 项目地址:https://gitcode.com/ba0gu0/520apkhook 项目简介 520_APK_HOOK 是一项创新的安卓远程控制技术,由BaoGuo开发,允许你在不引起安全警告的情况下,将自定义的远控程序注入到任意安卓应用程序中。这个项目旨在创建一种隐蔽且有效的安卓远程操控解决方案,它巧妙地避开了常规安全检查机制,使被注入的应用在运...
[Hook技术]利用inlineHook来实现快速破解易语言程序
qq_23730575的博客
09-02 6661
前几天笔者在逆向一个易语言写的身份证生成器程序的时候,发现易语言的各种函数都是经过封装过的,包括文本比较,字节集比较等敏感的功能函数全都是经过封装的,并且功能特征码无论哪个版本的易语言还完全相同... 现在网上的一些易语言特征码根本不可靠,只要把代码稍微VM一下,特征码就找不到了,在此,笔者稍微研究了一下易语言库函数调用过程: 测试程序的源码如下: ![易语言测试程序代码](https://img...
易语言-APIHOOK CreatefileA源码(写到文件、读入文件)
06-25
看到一个开源的HOOK CreatefileA的帖子 里面说 “直接APIhook会 出错 只有汇编hook了”,那我写个APIhook的方法。用到了精易模块的APIhook类。
VEH软件断点和硬件断点Hook管理
qq_40363731的博客
03-27 362
【代码】VEH软件断点和硬件断点Hook管理。
VEH hook
weixin_50217210的博客
10-16 218
终止当前程序的执行-->调试器(进程必须被调试,向调试器发送EXCEPTION_DEBUG_EVENT消息)-->执行VEH-->执行SEH-->TopLevelEH(进程调试时不会被执行)-->执行VEH-->交给调试器(上面的异常处理都说处理不了,就再次交给调试器)-->调用异常端口通知csrss.exe。思路就是不断改变某一块内存属性,当执行命令或者某些操作的时候,执行的内存属性是可执行的,当功能模块进入睡眠的时候将内存属性改为不可执行。然后就是注册异常函数,这个异常函数就是为了恢复可执行内存属性。
易语言-利用硬断+VEH实现APIHOOK
06-25
所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API 大牛就...
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 ...代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API 大牛就别来吐槽了 。- -转来的哦。只在XP WIN7 X32 下测试通过。@659656hkl。
VEH+硬件断点实现无痕HOOK
09-24
【标题】"VEH+硬件断点实现无痕HOOK"涉及的是Windows系统中的一种高级调试技术,主要用于在不改变目标程序原始行为的情况下,插入自定义代码以监控或修改其执行流程。这种技术常用于软件调试、逆向工程、安全检测等...
易语言 完美硬断源码
08-11
修改的硬断,完美支持某讯game,
D3D8劫持,跟下硬件断点调试异常可以过CRC校验哦..
06-12
D3D8通用游戏劫持,之前在做DNF的时候需要调试一些地址异常,就弄了一个劫持去调试,现在没用了,具体有需要的自己去改,硬件断点调试异常可以过CRC校验哦..,有时间整理一个易语言的版本..
内存无模块注入DLL易语言源码
09-19
将自身的功能DLL加载进资源中,然后编译成为注入DLL,然后把注入DLL注入到指定的程序中,该注入DLL就会把你的功能DLL采用重定位的方式注入到进程中,并把注入DLL自身卸载,实现无API无ldr无vad记录注入。最有效化隐藏自身功能DLL。
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API大牛就别来吐槽了 只在XP WIN7 X32 下测试通过
e语言-利用硬断 VEH实现APIHOOK
08-23
所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API 大牛...
易语言如何注入 c dll,易语言注入dll调用函数的方法
weixin_32659227的博客
05-19 2254
在我们的生活中那,如何操作上述标题的小问题,小编今天就在这里给大家分享一点我的小经验,来增加我们的体验,希望可以给你们带来帮助。1、首先这不是注入DLL,这是导入DLL函数进PE文件,这个过程需要一个工具LordPE,网上都有可以自己去下载。2我们知道一旦DLL函数被导入EXE文件的输入表,则EXE文件启动时会自动执行一遍该DLL的_启动子程序 函数,3、所以我们可以把需要执行的指令放在该函数里面...
易语言内存注入
511遇见
05-28 9507
易语言完成内存注入的难度很大。 内存注入流程 1、获取注入进程ID 2、获取注入DLL的路径 3、打开进程,获取进程句柄 4、申请内存,读入DLL 5、将DLL路径写入内存地址 6、将DLL路径写入内存地址 7、为内存中的汇编指令申请内存地址 8、把汇编指令写入内存 9、把汇编指令写入内存 10、创建远程线程,执行装载DLL函数 11、线程等待 12、取终止线程退出的代码 13、 关闭线程和进程句柄 易语言内存注入源码: .版本 2 .子程序 内存注入, 逻辑型 .参数 进程ID, 整数型.
防游戏检测之易语言DLL内存注入技术
热门推荐
hzw320的博客
02-23 2万+
DLL注入,除了线程注入,消息钩子注入,输入法注入外,还有一种就是内存注入 那么什么是内存注入呢? 内存注入就是指内存中加载并且执行DLL文件,这样的注入方式好处有以下几点: 1.不需要把DLL文件暴露在出来(防止别人拿着你的DLL文件改装成自己的程序或者破解) 内存DLL不需要写出到硬盘上即可使用.只要用易语言编译出来DLL后,加入到图片资源中,即可直接在内存用运行使用. 2.安全性高,注入到对...
易语言无痕hook veh
01-12
易语言是一种编程语言,可以用来开发各种应用程序。无痕hook是一种技术,用于修改和篡改程序执行流程,而不留下明显的痕迹。在易语言中,也可以实现无痕hook技术。 无痕hook在很多场景中有着广泛的应用,如软件安全性评估、逆向工程等。一般来说,hook技术可以通过修改程序的代码或者数据来实现。在易语言中实现无痕hook主要分为两个步骤:寻找被hook的函数地址和修改函数地址。 易语言提供了一些内置函数和接口,可以帮助我们实现无痕hook。例如,可以使用API函数GetModuleHandle获取指定模块的句柄,再使用API函数GetProcAddress获取指定函数的地址。通过修改函数地址,我们可以实现对函数执行流的修改,进而实现无痕hook。 在易语言中,使用无痕hook技术需要谨慎操作,防止程序出错或者造成安全漏洞。同时,还需要遵循相关法律法规,不进行非法的逆向工程或者破解行为。 总结来说,易语言可以实现无痕hook技术,通过寻找被hook的函数地址和修改函数地址,可以实现对程序执行流的修改,从而实现无痕hook。但是在实际应用中,需要谨慎操作并遵守相关法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值