Copy-On-Write机制,全局hook(一)

最新推荐文章于 2024-06-22 16:45:39 发布
最新推荐文章于 2024-06-22 16:45:39 发布
阅读量6.6k 收藏
点赞数
分类专栏: 内核、驱动 文章标签: hook x86 c dll keyboard prototype
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/better0332/article/details/5912585
版权
本文探讨了在Ring3下全局Hook的多种方法,包括SetWindowsHookEx、注册表注入、CreateRemoteThread等。重点介绍了通过禁用Copy-On-Write(COW)机制实现全局Hook的原理,详细解析了_x86_硬件页表结构,指出COW在DLL页面中的作用。通过调试器实验展示了如何改变页面权限触发COW,强调了COW与写保护位的配合使用。
摘要由CSDN通过智能技术生成

    我本来想在ring3下全局hook,大约有这么几种方法:

1: 用SetWindowsHookEx,安装的钩子类型,如WH_GETMESSAGE,WH_KEYBOARD等,但这种方法只能挂接系统中的所有GUI线程。

2: 还有一种通过插入注册表来实现 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs,这种方法简单,但是还是只能挂钩GUI 程序,并且这个键值已经被广大HIPS所关注,吃力不讨好。

3: 用CreateRemoteThread注入到系统所有进程,但这种方法效率太低,特别是实时性太差,因为它要不停循环扫描所有进程,如果突然新建一个进程可能要过好久才能注进去,可能会漏掉很多API。

4: 通过挂钩NtResumeThread实现全局Hook,这种方法比较好,可以看http://www.xfocus.net/articles/200805/981.html

5: 禁用Copy-On-Write机制实现全局hook,但是难度很大,最终还是要去ring0禁用,http://www.xfocus.net/articles/200510/830.html (它是非PAE的)

 

说起Copy-On-Write,先看一个结构

struct   _hardware_pte_x86 (sizeof=4)
  

最低0.47元/天 解锁文章
better0332
关注
专栏目录
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】011 - arch\arm\cpu\armv8\start.S 汇编源码逐行详解
|~~~热爱生活、努力学习的小伙汁~~~|
06-30 472
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】011 - arch\arm\cpu\armv8\start.S 汇编源码逐行详解
【SemiDrive源码分析】【X9芯片启动流程】21 - MailBox 核间通信机制介绍(代码分析篇)之 Mailbox for Linux 篇
|~~~热爱生活、努力学习的小伙汁~~~|
05-31 1820
【SemiDrive源码分析】【X9芯片启动流程】21 - MailBox 核间通信机制介绍(代码分析篇)之 Mailbox for Linux 篇
Copy-on-write, 写时复制
04-11
NULL 博文链接:https://pingfang.iteye.com/blog/1485535
Copy-On-Write技术
weixin_30361641的博客
08-06 280
linux内核在使用fork创建进程时,基本上会使用Copy-On-Write(COW)技术。这里解释一下COW技术以及为什么在fork中使用。 WIKI上对COW的解释: Copy-on-write (sometimes referred to as "COW") is an optimization strategy used in computer programming. The fund...
C++使用API Hooking(API钩子)实现抓取打印数据
最新发布
qq_57661075的博客
06-22 723
API Hooking(API钩子)是一种技术,允许你在程序调用特定API函数之前或之后插入自定义的代码,从而改变或监视其行为。在打印数据抓取的上下文中,你可以使用API钩子来捕捉应用程序发送给打印系统的原始数据。你的钩子函数应该复制或记录传入的数据,然后调用原始API以保证打印过程不受影响。以上是使用API Hooking技术抓取打印数据的一个基本框架,实际实现时可能需要根据具体的应用程序和操作系统版本做适当调整。在程序初始化时,使用Detours的API安装钩子,将你的钩子函数与目标API连接起来。
Copy-On-Write
weixin_34006965的博客
01-08 114
写时拷贝 在复制一个对象的时候,并不是在内存中将源对象拷贝到目标地址,而是在新对象的内存映射表中指向源对象相同的位置,同时将该内存的Copy-On-Write值设为1。 通过这样的方式,在对源对象和新对象进行读操作的时候由于内存数据不会变化,所以直接操作即可,在对其进行写操作的时候,再将原始对象复制到新的内存地址中,更改对象的内存映射表到新地址中,并对新对象进行写操作。...
(转载)绕过Copy-On-Write机制安装全局Hook
Kendiv's Box
10-26 4434
绕过Copy-On-Write机制安装全局Hook创建时间:2005-10-22文章属性:原创文章提交:Addylee (Addylee2004_at_163.com)Jeffrey Richter在他的>一书中对Ring 3级的API Hook方法做了详细的介绍,但是一般的Ring 3无论是修改IAT,还是插入JMP XXX都将导致Copy-On-Write的发生,如果,要在系统范围内安装一个全
Copy-On-Write机制全局hook(二)
井底之蛙
09-29 4224
如果仔细阅读前一篇文章的话,就知道只要PTE的write(bit 1)位置1,就废掉了Copy-On-Write机制(解释一下,因为不可能产生异常了嘛),为了不影响系统的运行,我找了ntdll的文件头(7c800000)做实验: !process 0 0 . PROCESS 811ae9e0 SessionId: 0 Cid: 015c Peb: 7ffde000 ParentCid: 036c DirBase: 0997f000 ObjectTable: e15114
从win32中的写时复制(Copy on write )机制谈起
bobopeng
07-24 3405
我们知道,内存映射文件的物理存储器来自
Linux内核--内存管理(三)物理内存分页机制
文艺小少年的博客
11-26 996
之前我们分析了内存再用户态的结构体mm_struct及各个区域映射的vm_area_struct以及32位和64位的内核态结构体,本文将基于这些结构来分析Linux的内存管理系统。 内存管理系统包括虚拟内存和物理内存的分页以及虚拟内存和物理内存的映射。 本文将介绍分页机制,而映射则在下文中说明。本文首先简单介绍SMP和NUMA系统,然后对物理内存的节点、区域、页结构进行分析,在此基础上剖析伙伴系统和Slub Allocator的实现原理,最后介绍页面交换。
CopyHookService
03-07
用拷贝钩子实现对文件的监视,包括对文件的移动、删除、复制等,用到的是ICopyHook这个COM接口-Hook used copy of the document to achieve the surveillance, including the movement of files, delete, copy, etc. is used in the COM interface ICopyHook
Windows深度編程CopyHook (目錄刪除/移動/更名/拷貝)
04-18
Windows深度編程CopyHook 能鉤住(目錄刪除/移動/更名/拷貝) 使用 Regsvr32 CopyHook.dll 注冊重啟後生效
c++钩子函数:copy hook_linux函数hook
12-27
c++钩子函数:copy hook c++调用钩子函数监视复制文件操作
CopyHook应用层实现U盘监控和操作的全部源代码
10-11
CopyHook应用层实现U盘监控和操作的全部源代码,可实现对U盘,SD卡等可移动设备的监控。利用CopyHook钩子技术完成!全部源代码解压可立即运行,由于其它格式无法上传,只能文字代替了,请见谅(全部代码约4000行)。
copyhook,勾子原理演示
02-03
copyhook,勾子原理演示 unit CopyHook_Unit; interface uses Windows, ComObj, ShlObj, StdVcl; type TCopyMain = class(TComObject, ICopyHook) protected
WIN7 下 explorer 进行的文件移动COPY HOOK
12-04 2287
在 WinXP 下通过HOOK explorer来截获用户的复制,剪切,粘贴是很容易的。只需要HOOK以下三个API: CopyFileExW, MoveFileWithProgressW, ReplaceFileW, 至于 MoveFileA等函数,最终也是调用这三个函数,这点可以通过用IDA反kernel32.dll分析得来。 但在WI
Copy-on-write
byteyoung
08-24 940
含义: 写入时复制(英语:Copy-on-write,简称COW)是一种计算机程序设计领域的优化策略。其核心思想是,如果有多个调用者(callers)同时要求相同资源(如内存或磁盘上的数据存储),他们会共同获取相同的指针指向相同的资源,直到某个调用者试图修改资源的内容时,系统才会真正复制一份专用副本(private copy)给该调用者,而其他调用者所见到的最初的资源仍然保持不变。这过程对其他的调用者都是透明的(transparently)。此作法主要的优点是如果调用者没有修改该资源,就不会有副本(priv
Objective-C中Method Swizzling:iOS hook消息机制详解
在iOS开发中,实现hook消息机制是一种常见的技术,特别是在需要在运行时修改或增强类的行为时。Method Swizzling是Objective-C中的一种关键手段,它允许开发者在程序运行时动态地改变方法的实现,通过替换方法的实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值