C++黑客编程揭秘与防范之利用修改内存的方式实现进程注入

最新推荐文章于 2021-11-22 09:48:02 发布
最新推荐文章于 2021-11-22 09:48:02 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boyka913/article/details/14124409
版权

头文件ILHook.h

/********************************************************************	
	purpose:	利用修改内存的方式来实现进程注入
*********************************************************************/

#pragma once
#include <Windows.h>
class CILHook
{
public:
    CILHook(void);
    ~CILHook(void);

    BOOL Hook(LPSTR pszModuleName, LPSTR pszFunName, PROC procFun);
    void UnHook();
    BOOL ReHook();

    PROC m_pfnOld;
    BYTE m_bOld[5];
    BYTE m_bNew[5];
};


源文件ILHook.cpp

#include "StdAfx.h"
#include "ILHook.h"

CILHook::CILHook(void)
{
    m_pfnOld = NULL;
    ZeroMemory(m_bNew, 5);
    ZeroMemory(m_bOld, 5);

}

CILHook::~CILHook(void)
{
    UnHook();
}

BOOL CILHook::Hook( LPSTR pszModuleName, LPSTR pszFunName, PROC procFun )
{
    BOOL bRet = FALSE;
    m_pfnOld = (PROC)GetProcAddress(GetModuleHandle(pszModuleName), pszFunName);
    if (m_pfnOld != NULL)
    {
        //保证旧的数据
        DWORD dwNum(0);
        ReadProcessMemory(GetCurrentProcess(), m_pfnOld, m_bOld, 5, &dwNum);

        //构造JMP指令, 39是JMP指令的机器码
        m_bNew[0] = '\xe9';

        //修改目标函数的入口地址
        *(DWORD*)(m_bNew+1) = DWORD(procFun) - DWORD(m_pfnOld) - 5;
        WriteProcessMemory(GetCurrentProcess(), m_pfnOld, m_bNew, 5, &dwNum);
        bRet = TRUE;

    }
    return bRet;
}

void CILHook::UnHook()
{
    if (m_pfnOld != NULL)
    {
        DWORD dwNum(0);
        WriteProcessMemory(GetCurrentProcess(), m_pfnOld, m_bOld, 5, &dwNum);
    }

}

BOOL CILHook::ReHook()
{

    if (m_pfnOld != NULL)
    {
        DWORD dwNum(0);
        WriteProcessMemory(GetCurrentProcess(), m_pfnOld, m_bNew, 5, &dwNum);
        return  TRUE;    
    }

    return FALSE;
}


测试文件

#include "StdAfx.h"
#include "MainHook.h"

CILHook MsgHook;


int WINAPI myMessageBoxA(HWND hwnd,
                         LPCTSTR lpText,
                         LPCTSTR lpCaption, 
                         UINT uType)
{
    MsgHook.UnHook();
    MessageBox(hwnd, "hook", lpCaption, uType);
    //MessageBox(hwnd, lpText, lpCaption, uType);
    MsgHook.ReHook();
    return IDOK;
}


void testHook()
{
    MessageBox(NULL, "test", "information", MB_YESNO);

    MsgHook.Hook("User32.dll", "MessageBoxA", (PROC)myMessageBoxA);
    MessageBox(NULL, "test", "information", MB_OK);
    MsgHook.UnHook();

    MessageBox(NULL, "test", "information", MB_OK);

}


 

 

boyka913
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二、C++反作弊对抗实战 (进阶篇 —— 17.如何内存校验保护代码段、对抗远程线程注入)
Koma的主页
03-05 1108
这一章节将重点介绍如何利用内存校验止第三方模块或辅助软件恢复我们的HOOK或者篡改任意代码段,配套全程在2.17目录中,本专栏所有内容仅供学习参考,我们应当坚决抵制任何不非行为!
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
Hacker编程系列-远线程注入
11-18 446
转载:http://blog.csdn.net/whatday/article/details/8975930 一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者相对起来更加隐蔽,也更难被杀软检测
安全之路 —— C++实现进程守护
dengdao1372的博客
09-08 651
简介 所谓进程守护,就是A进程为了保护自己不被结束,创建了一个守护线程来保护自己,一旦被结束进程,便重新启动。进程守护的方法多被应用于恶意软件,是一个保护自己进程的一个简单方式,在ring3下即可轻松实现。而创建守护线程的方法多采用远程线程注入方式,笔者之前曾介绍过远程线程注入的基本方式,主要分为DLL远程注入和无DLL远程注入。 代码实现 ///////////////////...
X64位内存注入DLL技术(可躲避检测DLL,破解盗用DLL)
热门推荐
hzw320的博客
03-02 1万+
说到易语言对64位进程注入dll方面, 虽然我们Game-EC模块里面已经有对64位程序进行注入dll的功能了,但是 在这几天新年里,除了忙着像大多数人一样走亲访友拜年,剩余的时间也没闲着,研究开发了另外一种对64位程序进程进行注入dll的功能,今天给大家带来的是最近开发的新功能里面其中一个64位内存注入dll,也是属于64位游戏辅助开发方面的。 因为之前有不少开发64位游戏辅助的学员建议我,希望能出个隐藏64位dll的功能就好了,因为注入游戏dll经常遇见被游戏枚举dll方法就能检测到是否有第三方dll(
c++实现内存修改进程内存 修改马里奥
赖卓成的博客
03-06 7681
1.HWND:表示句柄(handle), Wnd 是变量对象描述,表示窗口,所以hWnd 表示窗口句柄 2.FindWindow函数返回与指定字符串相匹配的窗口类名或窗口名的最顶层窗口的窗口句柄。这个函数不会查找子窗口。 函数原型: HWND FindWindow( LPCTSTR lpClassName,LPCTSTR lpWindowName)//类名,标题名 3.DWORD双字DWORD ...
C++ 如何改写其他进程指定地址的内存
yinhaijing123的专栏
04-25 3889
1、明确的说,c++可以修改指定内存的值,如果是自己定义的变量的地址,按你说的方法肯定可以修改了,如果要脱离本程序,修改其他程序里某块内存的值,要用到几个api函数(不需要用内联汇编的)HANDLE OpenProcess( DWORD fdwAccess, BOOL fInherit, DWORD IDProcess );其中第三个参数IDProcess是指定程序的进程标识,可以用另一个ap
Windows核心编程_修改其它进程里的内存值+示例:修改游戏分数
17岁boy的博客
04-09 8097
最近一直忙于Opencv图像处理方面的学习,以及工作,没有更新C/C++专栏方面的博客了,所以今天就给大家写个应用层方面的编程代码,可用于参考学习,本篇博客将运用WindowsSDK库所提供的API来编写一个修改其他进程里变量值的程序。在开始实际编写代码之前,先给大家介绍一下所需函数:OpenProcess、VirtualProtectEx、ReadProcessMemory、WriteProce...
VC++修改其他进程内存数据
10-31
可以在一个程序中修改其他基础的任何内存地址数据
内存加载dll
12-28
AppWizard has created this CalcModule DLL for you. This file contains a summary of what you will find in each of the files that make up your CalcModule application. CalcModule.dsp This file (the project file) contains information at the project level and is used to build a single project or subproject. Other users can share the project (.dsp) file, but they should export the makefiles locally. CalcModule.cpp This is the main DLL source file. When created, this DLL does not export any symbols. As a result, it will not produce a .lib file when it is built. If you wish this project to be a project dependency of some other project, you will either need to add code to export some symbols from the DLL so that an export library will be produced, or you can check the "doesn't produce lib" checkbox in the Linker settings page for this project.
进程空中技术(在内存中加载exe)
07-28
一种进程注入技术,有兴趣稍加改动可实现exe在不落地的情况下在内存中动态加载
C++实现内存修改器【CE】+1G视频教程百度云下载地址
08-16
CE修改器(Cheat Engine)是一款内存修改编辑工具,CE允许你修改游戏。它包括16进制编辑,反汇编程序,内存查找工具。与同类修改工具相比,它具有强大的反汇编功能,且自身附带了辅助工具制作工具,可以用它直接生成辅助工具。
visual c++ vc 内存修改器 动态修改内存 修改其它进程内存值,写游戏修改器用.zip
04-05
visual c++ vc 动态修改内存 修改其它进程内存值,写游戏修改器用.zip
内存泄漏检查 HOOK方式
09-01
内存泄漏检查 HOOK方式 一个C++写的 来自VC6
易语言x64驱动保护检测破解注入内存读写(支持win7win10全系统)
hzw320的博客
11-22 5363
现在很多游戏会检测工具,辅助, 如果我们对工具或者辅助进行保护起来,也像游戏一样阻止各种操作访问检测, 就可以让游戏检测不到避免封号。 或者止同行盗取自己辅助里的数据信息,破解自己的辅助等行为! bilibili在线播放:易语言编程-x64强制读写-驱动保护(破解,检测,注入)技术_哔哩哔哩_bilibili 易语言编程-x64强制读写-驱动保护(破解,检测,注入)技术 易语言编程-x64强制读写-驱动保护(破解,检测,注入)技术_哔哩哔哩_bilibili 本技.
C++黑客编程揭秘防范 第2版pdf
weixin_30851409的博客
02-09 319
下载地址:网盘下载内容简介······市面上关于黑客入门的书籍较为繁多,比如黑客图解入门、黑客工具详解、黑客木马攻等。 转载于:https://www.cnblogs.com/long12365/p/9730465.html...
C/C++程序中内存被非法改写的一个检测方法
WLin9174的博客
09-01 719
本文所讨论的“内存”主要指(静态)数据区、堆区和栈区空间(详细的布局和描述参考《Linux虚拟地址空间布局》一文)。数据区内存在程序编译时分配,该内存的生存期为程序的整个运行期间,如全局变量和static关键字所声明的静态变量。函数执行时在栈上开辟局部自动变量的储存空间,执行结束时自动释放栈区内存。堆区内存亦称动态内存,由程序在运行时调用malloc/calloc/reallo...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值