Anti Hook,Anti BreakPoint

最新推荐文章于 2020-05-09 23:18:13 发布
最新推荐文章于 2020-05-09 23:18:13 发布
阅读量974 收藏 1
点赞数
文章标签: hook image null header dos user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a33445621/article/details/5330287
版权

这段代码演示了如何让你的程序要保护的API函数不被下断。

这段代码显示一个对话框,但Cracker在OD中是无法下MessageBoxA断点的。因为程序将要用到的MessageBoxA函数的DLL文件拷贝到了自己新申请的空间内,并执行的是新空间中MessageBoxA的代码。而Cracker下的断是系统DLL文件的断点,显然是无法拦截到我们的函数的。

#include <windows.h>
#include <stdio.h>

DWORD RvaToOffset(LPVOID lpBase,DWORD VirtualAddress)
{
IMAGE_DOS_HEADER *dosHeader = (IMAGE_DOS_HEADER*)lpBase;
IMAGE_NT_HEADERS *NtHeader = (IMAGE_NT_HEADERS*)((BYTE*)lpBase + dosHeader->e_lfanew);
int NumberOfSection = NtHeader->FileHeader.NumberOfSections;
IMAGE_SECTION_HEADER *SectionHeader;

for (int i=0;i<NumberOfSection;i++)
{
   SectionHeader = IMAGE_FIRST_SECTION(NtHeader)+i;
   if(VirtualAddress>SectionHeader->VirtualAddress&&VirtualAddress<SectionHeader->VirtualAddress+SectionHeader->SizeOfRawData)
   {
    DWORD AposRVA = VirtualAddress - SectionHeader->VirtualAddress;
    DWORD offset = SectionHeader->PointerToRawData + AposRVA;
    return offset;
   }
}
return 0;
}


int main(int argc,char *argv[])
{
char szDllPath[MAX_PATH];
   DWORD dwRead;
char *szTitle="Tilte";
char *szMessage="Message";

GetSystemDirectory(szDllPath,MAX_PATH);
strcat(szDllPath,"//user32.dll");
HANDLE hFile = CreateFile(szDllPath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,NULL,NULL);
DWORD dwSize = GetFileSize(hFile,NULL);
LPVOID lpBase = VirtualAlloc(NULL,dwSize,MEM_COMMIT,PAGE_READWRITE);
ReadFile(hFile,lpBase,dwSize,&dwRead,NULL);
//申请user32.dll文件大小空间,并将user32.dll文件写入

HMODULE lpMod = LoadLibrary(szDllPath); //得到user32.dll的HMODULE
LPVOID lpOldMessageBox = GetProcAddress(lpMod,"MessageBoxA");//得到MessageBoxA函数地址

DWORD dwRVA = (DWORD)lpOldMessageBox - (DWORD)lpMod;//计算MessageBoxA在内存中的偏移地址
DWORD lpNewMessageBox = RvaToOffset(lpBase,dwRVA);//将内存地址转换成文件地址,即找到MessageBoxA在文件中的地址
lpNewMessageBox += (DWORD)lpBase;//计算MessageBoxA在新内存中的地址

__asm
{
   mov eax,lpNewMessageBox
   push 0
   push szTitle
   push szMessage
   push 0
   call eax  
}

FreeLibrary(lpMod);
CloseHandle(hFile);
return 0;
}

a33445621
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
180313 逆向-反调试技术(6)HookAntiHook
whklhhhh的博客
04-03 1241
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. HookAntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
Ollydbg Anti Anti Hardware Breakpoint Plugin
04-06 1153
http://www.exetools.com/forum/showthread.php?t=8499引用: Ollydbg AntAnti Hardware BreakpointCopyright (c) 2005 - Mattwood^FRET - mattwood9@gmail.com - www.pastapolis.info - http://reverseengineering
Android anti-hook技术
fzs4idiot的博客
08-08 1071
原文出处:http://d3adend.org/blog/?p=589 Stab 1: 检查是否安装hook框架,例如xposed或Substrate PackageManager packageManager = context.getPackageManager(); List applicationInfoList = packageManager.getInstalled
如何anti_anti_hardware_breakpoint
土星·北海若
07-05 2808
    之前我写过一篇利用SEH异常清硬件断点,看来真的是有矛就有盾啊,发现了一篇英文文章,专门讲如何anti_anti_hardware_breakpoint(很拗口吧?翻译成中文就是如何对付那些防止我们下硬件断点的程序).Chapter 1Hardware breakpoint    Hardware breakpoints or BPM(Breakpoint on Memory)
HOOK集合----SSDT Hook Anti(X86 win7)
qq_42021840的博客
05-09 214
介绍: 前段时间写了SSDT Hook,没来得及写SSDT HookANTI策略,今天来写一下。 其实,ANTI SSDT Hook 也很简单,无非就是对比一下内存中加载的SSDT 表中的函数地址和原文件(ntkrnlpa.exe)中的SSDT表中函数地址是否一致即可。 (一) ⚪ 获取ntkrnlpa.exe模块的完整路径 ⚪将文件读取到当前内存空间中 ⚪将RVA转化为FOA,找到原文件读取到内存中的SSDT表位置。 ⚪判断内存加载的SSDT表中的函数地址和原文件中的SSDT表...
HOOK入门
02-26
千呼万唤始出来,终于开始学习Win32HOOK机制了。虽然说HOOK早已不是什么新技术,但是对于自己而言却是第一次接触。之前更多地只是从检测木马的钩子中感性地认识HOOK。由于之前从来没有真正接触过,所以一上来缺的...
VMP detect bug in hook(KM/UM) 检测反反调试工具
11-24
Sample idea VMP detect bug in hook(KM/UM) for detect anti-anti-debug tool's
hook支付宝源码
05-18
修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据 修改数据
易语言HookDLL
08-16
HookDLL 系统结构:GetMsgProc,NewWndProc,安装钩子过程,调中链中的下一个挂钩过程,从钩子链中删除函数,增加或修改属性列项,删除属性列入口,从窗口属性表列中返回数据句柄,拷贝内存,在窗口
做一个检测钩子程序的工具
热门推荐
oRbIt 的专栏
11-25 1万+
(本文最早发表在《电脑编程技巧与维护》杂志) 输入您的搜索字词 提交搜索表单 一、引言    Windows系统是建立在事件驱动的机制上的,每一个事件就是一个消息,每个运行中的程序,也就是所谓的
程序驱动防止消息钩子入侵
weixin_33672400的博客
04-28 283
PS:明天上午,非常郁闷,有很多简单基础的问题搞得我有些迷茫,哎,代码几天不写就忘。目前又不当COO,还是得用心记代码哦!     很久以前就道知可以应用LoadLibraryExW来避免全局钩子入侵,说实话直一很恶感消息钩子。经曾想过在驱动层通过过hook NtUserSetWindowsHookEx来避免,但是我们是不并很好分区钩子不是不意恶的,而且windows统系本身也会应用,还有就是驱...
qt反锯齿操作
除却猩猩不是猿
07-03 4540
QPainter::Antialiasing 告诉绘图引擎应该在可能的情况下进行边的反锯齿绘制 QPainter::TextAntialiasing 尽可能的情况下文字的反锯齿绘制 QPainter::SmoothPixmapTransform 使用平滑的pixmap变换算法(双线性插值算法),而不是近邻插值算法 painter.setRenderHint(Q...
Ant Design 4.1.0 发布,涉及30多项内容
hdx柿子的博客
04-02 569
感谢参考原文-http://bjbsair.com/2020-04-01/tech-info/18434.html 前言 Ant Design 4.1.0 发布了。Ant Design 是阿里开源的一套企业级的 UI 设计语言和 React 实现,使用 TypeScript 构建,提供完整的类型定义文件,自带提炼自企业级中后台产品的交互语言和视觉风格、开箱即用的高质量 React 组件与全链路开发...
Xposed Hook & Anti-hook
weixin_30760895的博客
10-27 114
一点简单记录。 xposed原理包括将hook的method转为Native。因此可检测如下: for (ApplicationInfo applicationInfo : applicationInfoList) { if (applicationInfo.processName.equals("com.example.hookdetection")) { ...
C++高级hook
奔流的江水
02-21 3035
https://bbs.pediy.com/thread-228669.htm
Anti-Content
最新发布
08-02
可以通过Hook或者XHR断点的方式来定位它。在代码中,可以通过全局搜索anti_content来找到包含这个关键字的唯一一个js文件。[2]在异步请求中,像XMLHttpRequest这样的操作会比较复杂,需要在不同的地方进行跳转和处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值