OD远程HOOK

最新推荐文章于 2021-08-18 14:18:21 发布
最新推荐文章于 2021-08-18 14:18:21 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: OD
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenchong_219/article/details/17856523
版权
本文介绍了在OD中实现远程HOOK的过程,包括OpenProcess获取进程句柄,WriteProcessMemory写入数据,ReadProcessMemory读取进程数据,VirtualAllocEx和VirtualFreeEx用于分配和释放目标进程内存。主要关注这几个关键API的使用。
摘要由CSDN通过智能技术生成

1、几个API

(1)OpenProcess :打开一个进程,返回进程句柄。

函数原型
HANDLE OpenProcess(
DWORD dwDesiredAccess, //渴望得到的访问权限(标志),一般给完全操作权限。
BOOL bInheritHandle, // 是否继承句柄,一般为0
DWORD dwProcessId// 进程标示符,进程ID
);

(2)WriteProcessMemory:在一个进程中写入数据。

BOOL WriteProcessMemory(
HANDLE hProcess,
LPVOID lpBaseAddress,
LPVOID lpBuffer,
DWORD nSize,
最低0.47元/天 解锁文章
chenchong_219
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OD手写HOOK
心之所向,身之所往
01-04 1726
1、程序源代码 #include "CC_Debug.h" #include int main() { int a = 3; int b = 2; int c = a + b; char tmp[8]; memset(tmp,0,8); itoa(c,tmp,10); MessageBoxA(NULL,tmp,"HOOK",MB_OK); return 0;
逆向学习之Hook技术
xf555er的博客
08-15 5627
IAT表:全称Import Address Table,中文名为导入地址表每一个进程都有这样一个IAT表,而这个IAT表存储着当前这个模块所用到的所有api函数地址将程序拖入OD里,随便找一个调用系统api的函数,然后数据跟随内存地址,会发现这些api函数在IAT表里的位置都是挨在一起的只要将这些函数的地址修改成指向我们自行设置的函数地址,就能实现所谓的IAT Hook又称为超级Hook, 比起IAT Hook, 它的实用性更强以及更加容易过检测。...
微信使用OD逆向HOOK的一些心得
q750936486的博客
08-18 2729
微信电脑版随着朋友圈的更新,功能逐渐多了起来,相比协议的批量登录,几乎不会出现被封号的情况,优势越来越大 今天就聊一下 我在微信更新时 快速更新基址的一些干货 在OD里,寻找某一处功能代码,无非有几种方法,通过一系列操作,下断;寻找堆栈,这种方法非常繁琐耗时,一般来说新手用于熟悉OD使用,我们这里就不深入讲解这种较为麻烦的方法了 第二种就是使用特征码,这种方法是较为快速的,但是每次更新就说明代码一定会有变动,有很大几率会出现特征码变动的情况,这种方法可以作为快速查找的方法之一,但不能单纯的只用这一
软件破解逆向安全(三)初识HOOK
weixin_43781139的博客
11-15 2820
什么是HOOK?这是逆向工程里的一个大块,我在这里几句话是一定说不清楚的,如果大家想深入了解,可以去学习一下。我这里简单说一下,hook,中文就是钩子的意思,简单理解为勾住一切事物,来实现我们想要的功能。 外挂中的体现:实时读取数据(例如坐标),修改数据,不执行某处代码,过检测等等。 HOOK的方式可以分为: 直接修改,间接修改(找到空白地址写入自己想要执行的数据,原地址的区域做跳转,空白地址出跳转),直接修改。 接下来我们还是请出植物大战僵尸作为今天的实例,我们要做的是种植物而不掉阳光。 首先我
OD学习笔记
心之所向,身之所往
06-08 3827
1、OD与IDA是两个常用工具。OD是动态分析,IDA是静态分析。 2、F2下断点,F3加载一个可执行程序。 3、Call *** 按F7可以进入该函数内部,Ctrl + F9运行至ret出,就可以返回程序了。 4、Alt + B打开断点编辑器,用于取消断点,del或者空格取消断点。
VB变态HOOK_API也疯狂.doc
06-27
在实现 HOOK API 时,需要了解 OD 分析调试自己的代码,学会自己制作 tlb 类库文件,学会远程注入代码与远程注入 DLL,学会 HOOK API 函数等知识。 通过本文,你将学会以下知识: 1.HOOK API 函数 2.远程注入代码...
郁金香od + 代 码注入器.
07-20
在IT行业中,代码注入是一种常见的技术手段,它允许程序员在运行时修改其他进程的行为,例如实现钩子(hook)机制、调试目标程序或进行安全检测。 "郁金香OD + 代码注入器"的标题表明这可能是一个集成了解码和代码...
补丁模块(带源码)InlinePatch,Hook,内存DLL注入等等
09-24
子程序 UnInjectDLL2, 逻辑型, 公开, 远程时钟卸载dll .参数 参数_窗口句柄, 整数型, , FindWindow(字符 (0),“计算器”) .参数 参数_DLL路径, 文本型, , '可以是DLL全路径也可以只是DLL名称 .子程序 超级延时, ...
HOOK API入门之Hook自己程序的MessageBoxW
热门推荐
friendan的专栏
10-01 5万+
说到HOOK,我看了很多的资料和教程,无奈就是学不会HOOK,不懂是我的理解能力差,还是你们说的 不够明白,直到我看了以下这篇文章,终于学会了HOOK: http://blog.sina.com.cn/s/blog_628821950100xmuc.html    //感谢文章作者的分享,让我学会了HOOK ----------------------------------------
C# 全局勾子(Hook 含鼠标键盘窗口内核等)
01-19
含鼠标键盘窗口内核等,利用C++制作的DLL,用C#写的全局勾子程序,并配有测试代码。
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe部分是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModulePath) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModulePath, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
微信纯HOOK 易源码,无DLL ,想写机器人拿去学习吧
01-10
首先声明这源码之前有坛友发表过,之前研究过不成功。最近重新拿出来测试发现可以使用,特出来讲解下 应该很多朋友都尝试过。 对应的版本微:v2.4.5.37 ,编译出来为version.dll文件,放入微X安装目录下启动即可。 实现自己信息获取,好友信息获取,接收信息。发送信息没进行HOOK。原理劫持version.dll,获取基址-写入汇编函数-CALL回调函数。 用了个HOOK内存模块,可以通过论坛的模块反编译工具反编译出来。 开源才能更好的学习 感谢之前开源的伙伴,希望大家不要藏私了,,**写的完整源码分享下!
向进程注入托管程序集(Hook ReadProcessMemory Api)(C#源码)
07-18
托管程序集是否能被注入,这个问题一直以来都被否定,但easyhook给了我们一个解决方案
找基址五种方法OD+CE,以及单独找基址的方法。非常实用
05-24
CE找基址,非常详细,CE找基址,非常详细CE找基址,非常详细CE找基址,非常详细CE找基址,非常详细
sysenter HOOKOD调试
_KaQqi的博客
05-12 2129
sysenter指令: SYSENTER用来快速调用一个0层的系统过程。SYSENTER是SYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYS
StrongOD hook的API
井底之蛙
08-07 4589
好久没写东西了~~: >SSDT State NtClose Actual Address 0xF0389268 Hooked by: C:\OllyDBG\plugin\whlsod.sys NtCreateProcess Actual Address 0xF0
c++ 64远程 hook
最新发布
01-20
远程hook是一种通过操纵目标主机的操作系统或应用程序来监控、修改或重定向其行为的技术。c 64远程hook是在C语言编写的64位操作系统上实施远程hook的一种方法。 远程hook的基本原理是通过修改目标主机的代码或数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值