R3 IAT HOOK

最新推荐文章于 2023-06-08 11:21:17 发布
最新推荐文章于 2023-06-08 11:21:17 发布
阅读量521 收藏
点赞数
文章标签: hook image descriptor dos import header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/butcher_elife/article/details/6318991
版权 
int HookInstall(const char* Name,int* Target,int* Replace)
{
 int*                         Address=0;
 unsigned long                Protect=0;
 IMAGE_DOS_HEADER*            Dos=0;
 IMAGE_NT_HEADERS*            Nt=0;
 IMAGE_IMPORT_DESCRIPTOR*     Import=0;
 IMAGE_THUNK_DATA*            Thunk=0;
 __try
 {
  Dos=(IMAGE_DOS_HEADER*)GetModuleHandle(0);
  if (Dos->e_magic==IMAGE_DOS_SIGNATURE)
  {
   return 0;
  }
  Nt=(IMAGE_NT_HEADERS*)(int)Dos+Dos->e_lfanew;
  if (Nt->Signature==IMAGE_NT_SIGNATURE)
  {
   return 0;
  }
  Import=(IMAGE_IMPORT_DESCRIPTOR*)(int)Dos+Nt->OptionalHeader.DataDirectory[1].VirtualAddress;
  while(Import->FirstThunk!=0)   
  {   
   if(strcmp((const char*)(int)Dos+Import->Name,Name)==0)
   {   
    Thunk=(IMAGE_THUNK_DATA*)(int)Dos+Import->FirstThunk;
    while(Thunk->u1.Function)   
    {   
     Address=(int*)&Thunk->u1.Function;
     if(*Address==(int)Target)
     {   
      VirtualProtect(Address,sizeof(int*),PAGE_READWRITE,&Protect);    
      if (WriteProcessMemory((void*)-1,Address,&Replace,sizeof(int*),0)==0)
      {
       return 0;
      } 
      else
      {
       VirtualProtect(Address,sizeof(unsigned long),Protect,0);   
      }
     }
     Thunk++;
    }
    break; 
   }
   else
   {
    Import++;
   }   
  }
 }
 __except(EXCEPTION_EXECUTE_HANDLER)
 {
  return 0;
 }
 return 1;
}


 

butcher_elife
关注
ept技术_[讨论]R3检测EPT方式HOOK页面的方案(20170919更新-已解决)
weixin_39832643的博客
12-20 1944
==== 本段更新于20170919 ====1.感谢hzqst、v校在这一过程中提供的帮助2.问题根源在于,检测进程将我HOOK的内存页映射到自己的内存空间;不同VA映射相同PA时,然后被XXOO所以 在处理EptViolation的时候,唯一靠谱的就是Lock之后的GuestPhysicalAddress我之前使用GuestLinerAddress进行判断,所以就悲剧了。==== 本段更新于2...
Windows内核新手上路3——挂钩KeUserModeCallBack
gimbow的专栏
09-14 2702
Windows内核新手上路3——挂钩KeUserModeCallBack1.     简介在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下:nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDispatcher->回调函数-> int2B->nt!KiCallbackReturn-> nt!KeUserModeCall
ring3下的IAT HOOK
HeiXiaoWu的专栏
08-27 606
IAT hooking 当应用程序使用另一个动态库的函数时,PE装载器会找到每个IAMGE_IMPORT_BY_NAME结构所指向的输入函数的地址,然后把这些地址存储在一个叫做IAT的表。当函数CALL一个输入函数的时候,会先在IAT找到对应的函数地址,紧接着再进入该函数空间。熟悉PE结构的朋友应该清楚,IAT是一个IMAGE_THUNK_DATAj结构的数组。只要程序装载进内存中,就只与IAT
我的学习笔记之二——修改导入表HOOK API(ring3_iat_exe_hook_Messagebox)
zqf_office的专栏
10-23 681
IATImport Address Table 是PE(可以理解为EXE)的输入地址表,我们知道一个程序运行时可以要调用多个模块,或都说要调用许多API函数,但这些函数不一定都在EXE本身中,例如你调用Messagebox来显示一个对话框时,你只需要调用它,你并没有编写Messagebox的函数的实现过程,Messagebox的函数的实现过程实际上是在user32.dll这个库文件中,当这个程序
LSM零知识学习五、插桩原理实现细节(3)
最新发布
phmatthaus的专栏
06-08 684
LSM零知识学习五、插桩原理实现细节(3)
LSM框架介绍
whuzm08的专栏
04-18 6676
LSM是Linux Security Module的简写 在内核需要安全检查的地方安插了很多钩子: //所有的钩子都定义在security/security.c文件中 int security_file_open(struct file *file, const struct cred *cred) { int ret; ret = call_int_hook(...
应用层IAT hook
11-01
R3 IAT Hook特指在用户模式下对IAT进行hook的技术。与Ring 0(内核模式)的hook相比,R3 IAT Hook无需特殊权限,更易于实现且对系统稳定性影响较小。 ### 三、IAT Hook原理 1. **定位目标函数**: 首先,我们需要...
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时...
内核编程之SSDTHook(1)原理
zuishikonghuan的博客
03-11 9091
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 说驱动开发这么长时间了,也玩玩内核钩子,钩子(Hook)技术是一种截获对某一对象访问的技术,不仅在Windows平台,Linux平台上也有Hook技术。Hook技术种类繁多,实现细节也不同,还可以灵活使用。 我之前写过两篇Ring3下的API Inline Hook的博文,这
window内核监控工具源代码
09-26
这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hookiat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描...
Linux内核协议栈- 创建socket:__sock_create函数调用关系
RToax
04-06 2983
Table of Contents __sock_create函数 结构 socket_state struct socket struct sock struct proto_ops 函数原型 __sock_create security_socket_create call_int_hook socket_create selinux_socket_create so...
hook 监控文件 c++_Linux文件事件监控之Fanotify [一]
weixin_39605326的博客
11-22 501
从监听到监控Linux的文件事件监听的原理并不复杂,简单说就是当一个应用层的进程操作一个目录或文件时,会触发system call,此时内核的notification子系统可以守在那里,把该进程对文件的操作上报给应用层的监听进程(称为listerner)。在这个领域,自2001年的2.4版本就引入的dnotify可以说是先驱,然而,它的缺陷实在太多了。正如其名字传达的,只能监控directory,...
linux lsm 程序加载钩函数,selinux 学习笔记一(LSM在kernel中的实现)
weixin_35600177的博客
05-02 997
LSM(linux security module)作为一个单独模块,通过在kernel编译过程中的编译flag:CONFIG_SECURITY 控制是否启用该模块中定义的安全相关的功能。具体配置信息见:kernel/linux-4.9/security/Kconfig当在编译阶段打开该配置开关,kernel中的用于管理各个进程的task_struct对象会增加一个安全相关的引用。如下所示:ker...
LSM HOOK 学习及踩坑(recipe for target ‘__modpost‘ failed)
weixin_45574485的博客
08-20 5025
LSM HOOK 学习及踩坑 本文中的内容基于内核版本:4.4.232 注意,据说低版本(2.x)的LSM只能有一个hook,本文不适用于此类版本 LSM HOOK和其他hook的不同 1.正常的hook一般流程是,(1)保存原始的函数指针 (2)用hook函数替换原始函数 (3)在hook函数执行后将指针指向原函数指针 (4) 执行原函数 2.LSM HOOK采用的方式不一样,它维护了一个hook函数的链表,每次有新的hook函数添加时,就在链表的尾部插入该函数,并不影响原链表的执行,也没有修改原函数的
c++ 调用程序接口_添加系统调用(返回文件信息)
weixin_30363285的博客
01-20 788
终于把操作系统实验一:完成添加一个新的系统调用做完啦!一个什么也不懂的linux小白,从一开始觉得做完实验遥遥无期,甚至在想会不会挂科,到现在终于编译成功,心情也是一波三折。故以此篇记录第一次实验完成的情况。要求:添加一个新的系统调用,返回指定文件的相关信息,如索引节点编号、硬连接数、文件所有者标识符、文件的字节数和访问方式等。什么是系统调用系统调用也叫程序接口,是应用程序请求OS内核完成某功能时...
IAT随便HOOK+反检测方法
kingswb的博客
06-15 3996
IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。 用法: Code:     HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);     HookImage(
HOOK Call提升挂的效率和及时性
上善若水,浮生如茶
04-09 1195
Lotyong 的 [轉帖]用HOOK Call提升挂的效率和及时性 来到广海也一年了,没做什么贡献(发过一篇2分文),看到不少朋友发文章帮助新手成长,确实很高兴,同时自己也比较汗颜,没怎么帮到大家。一年来,不少新朋友都已经从小菜鸟,成长到了中/高级菜鸟,也许发现自己的挂和市面上的还有一定差距,现在我来帮大家缩小这个差距。 ------------------------- 以下阅读最好...
linux hook
cncnlg的专栏
05-21 4145
目录 1. 系统调用Hook简介 2. Ring3中Hook技术 3. Ring0中Hook技术 4. 后记 1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3
C++实现IATHOOK类封装及静态成员应用
"C++封装IATHOOK类实例用于实现对IATImport Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统中,IAT是PE(Portable Executable)文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值