inline hook【001】

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量1k 收藏
点赞数
分类专栏: 汇编 windows C/C++ 文章标签: C++ dll hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lileiyang12/article/details/39992073
版权
C/C++ 同时被 3 个专栏收录
96 篇文章 3 订阅
订阅专栏
windows
42 篇文章 1 订阅
订阅专栏
汇编
11 篇文章 0 订阅
订阅专栏

什么是inline hook呢?图像解释下:


程序本来是要调用左边的目标函数,但是,我们在有没源码的情况下,想要在调用这个函数的时候做点其他事情,就需要插进去我们的函数,这个实现方式就是inline hook

操作原理非常简单:

在程序调用目标函数时候,会找到该函数的地址(图里边的head  A),通过将这个头信息偷偷的替换:


通过jmp B跳到head B,调用我们的插入函数,这样只要被HOOK的程序调用目标函数,就一定会先调用我们的插入函数,(比如游戏中,人机对战,电脑偷偷调用某个行动的时候,我们把它的行为打印,甚至改变,来帮助我们实现我们的想法)。

但是不能影响原来函数的操作,我们在插入函数运行结束后,再将目标函数被去掉的头部还给它,然后在指回去:


然而,在驱动编程的时候,我们往往这样做:http://www.cnblogs.com/Safe3/archive/2008/10/20/1315381.html

HOOK:

	KIRQL Irql;
	//开始inline hook
	//关闭内存写保护
	_asm
	{
		push eax
			mov eax, cr0 
			mov CR0VALUE, eax 
			and eax, 0fffeffffh  
			mov cr0, eax
			pop eax
	}
	//提升IRQL中断级
	Irql=KeRaiseIrqlToDpcLevel();
	//函数开头五个字节写JMP 
	RtlCopyMemory((BYTE *)NtOpenProcess,JmpAddress,5);
	//恢复Irql中断级
	KeLowerIrql(Irql);
	//开启内存写保护
	__asm
	{       
		push eax
			mov eax, CR0VALUE 
			mov cr0, eax
			pop eax
	}

UnHook:

	//把五个字节再写回到原函数
	KIRQL Irql;
	//关闭写保护
	_asm
	{
		push eax
			mov eax, cr0 
			mov CR0VALUE, eax 
			and eax, 0fffeffffh  
			mov cr0, eax
			pop eax
	}
	//提升IRQL到Dpc
	Irql=KeRaiseIrqlToDpcLevel();
	RtlCopyMemory((BYTE *)NtOpenProcess,OriginalBytes,5);
	KeLowerIrql(Irql);
	//开启写保护
	__asm
	{       
		push eax
			mov eax, CR0VALUE 
			mov cr0, eax
			pop eax
	}



但是很多时候我们想要的是一个应用级别的dll,而不是内核级别的sys,可以这样: http://blog.sina.com.cn/s/blog_802a13bc0100qyol.html

同样想实现这个流程,但是在应用级别,没有权限调用cr0,应用级别,可以用这个来做:

HOOK:

void HookOn() 
{ 
	HANDLE hProc; 
	DWORD dwIdOld = GetCurrentProcessId(); // 得到所属进程的ID 
	// 得到所属进程的句柄 
	hProc = OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld); 
	// 修改所属进程中MessageBoxA的前5个字节的属性为可写 
	VirtualProtectEx(hProc,NtOpenProcess,5,PAGE_READWRITE,&dwIdOld); 
	// 将所属进程中MessageBoxA的前5个字节改为JMP 到MyMessageBoxA 
	WriteProcessMemory(hProc,NtOpenProcess,JmpAddress,5,0); //RtlCopyMemory((BYTE *)NtOpenProcess,JmpAddress,5);
	// 修改所属进程中MessageBoxA的前5个字节的属性为原来的属性 
	VirtualProtectEx(hProc,NtOpenProcess,5,dwIdOld,&dwIdOld); 
	bHook=true; 
}
UnHook: 

void HookOff() 
{ 
	HANDLE hProc; 
	DWORD dwIdOld = GetCurrentProcessId(); // 得到所属进程的ID 
	hProc = OpenProcess(PROCESS_ALL_ACCESS,0,dwIdOld); 
	VirtualProtectEx(hProc,NtOpenProcess,5,PAGE_READWRITE,&dwIdOld); 
	WriteProcessMemory(hProc,NtOpenProcess,OriginalBytes,5,0); //RtlCopyMemory((BYTE *)NtOpenProcess,OriginalBytes,5);
	VirtualProtectEx(hProc,NtOpenProcess,5,dwIdOld,&dwIdOld); 
	bHook = false; 
}
有个比较赞的地方:拷贝一个函数体几个字节到指定空间

_asm 

pushad    //将EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI这8个指令压栈,保存现场
lea edi,OldMessageBoxACode  //edi存放的是想要将数据移动到的目标地址,也就是OldMessageBoxACode  
mov esi,fpMessageBoxA    //esi存放的是数据存放的源地址
cld  //cld是来控制重复移动时候的esi 和edi的递增方式。 cld是将方向标志位DF设置为0,每次rep循环的时候,esi和edi自动+1。   std是将方向标志位DF设置为1,每次rep循环的时候,esi和edi自动-1。
movsd  //移动字节数,movsd是DWORD,movsw是WORD,movsb是BYTE
movsb 
popad    //将EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI这8个指令弹出,还原现场


参考:http://blog.csdn.net/zhenyongyuan123/article/details/8364011

http://blog.csdn.net/flowshell/article/details/6094184

http://blog.csdn.net/feixiaoxing/article/details/7009911

接下来需要做的:

完整写一个实例。

如何将DLL注入到指定程序:http://blog.csdn.net/beanjoy/article/details/8497307

duhaomin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于内存写保护和IRQL
把梦想放飞在蓝色的天空里...
01-20 2008
摘自胡文亮win64驱动编程基础 在内核里想要写入“别人的” 内存( 一般指 NTOS 等系统模块的内存空间),还有另外的规矩,这里又涉及到另外两个概念: IRQL 和内存保护。 IRQL 成为中断请求级别,从 0~31 共32 个级别; 内存保护可以打开和关闭, 如果在内存处于保护状态时写入,会导致蓝屏。 一般来说,要写入“别人的”内核内存, 必须关闭
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
Windows内核实验005 Inline Hook
鬼手的博客
11-17 1148
文章目录准备工作寻找Inline Hook的返回地址编写代码动态变化的返回地址JmpTargetAddrInline Hook基本框架示例代码实战HOOK KiTrap01无需计算偏移的Inline Hook方法示例代码 准备工作 寻找Inline Hook的返回地址 假设我们现在要HOOK KiFastCallEntry这个内核函数,让所有的程序在进入零环之前先跳到我们自己的代码。 但是会出现...
linux kernel 5.0 inline hook框架
qq_42931917的博客
03-18 1085
linux kernel inline hook
Hook攻防之InlineHook
最新发布
xf555er的博客
06-16 1737
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
Inline Hook 钩子编写技巧
CSDN
10-17 1万+
有时候我们需要自定义Hook对象,这时候我们就可以使用本方法,直接在最后写上我们需要Hook的地址即可。Inline Hook 钩子编写技巧
ARM INLINE HOOK (一)
jiang_lostcode的专栏
12-29 1738
运行在ARM指令集的CPU上(比如Android手机),通过HOOK机制,对一些关键的方法进行监控,从而达到一些特殊目的,比如性能监控、安全等。 常用的HOOK方法有:GOT表HookInline Hook。而inline hook具有更广泛的适用性,几乎可以Hook任何函数(当然也有特殊情况无法进行inline hook,后面会提到)。相较于GOT表hookinline hook由于需要能...
Inline Hook Syscall 详解
pwl999的博客
07-20 2560
文章目录1. hook一般syscall2. hook stub syscall2.1 stub_xxx 原理2.2 方法1:hook `stub_xxx`2.3 方法2:hook `call sys_xxx`参考文档: 1. hook一般syscall 在安全、性能分析等领域,经常会需要对系统调用syscall进行hook。有些模块在kernel代码中已经预先hook,例如syscall trace event。 通常syscall使用sys_call_table[]数组来间接调用: kernel\arc
Inline Hook
weixin_44711063的博客
03-11 2751
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hookinline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
在提供的"InlineHook"压缩包中,应该包含了32位和64位的示例代码,这些代码可以让你直接运行并理解Inline Hook的工作原理。建议仔细阅读和分析这些代码,以便更好地理解和应用Inline Hook技术。 总之,Inline Hook...
inline hook的实现
威化饼的一隅
05-07 1103
思路   对于目标运行中的EXE程序,如notepad.exe,使用inline hook劫持其kernel32.dll中的writefile函数: 找到notepad.exe的进程PID,通过进程PID获取进程模块,通过进程模块获取程序加载的imagebase。 在获得imagebase后,就可以像类似分析PE文件一样,先找PE头,然后到可选头,里面读取data directory的第2个成员...
windows 编程ReadProcessMemory 使用中遇到的问题解决
duhaomin的专栏
10-30 9855
本次锻炼的本来是对ReadProcessMemory 里边的NtReadVirtualMemory 进行反汇编,为了验证反汇编成功,需要先使用NtReadVirtualMemory 的上层函数ReadProcessMemory去看看功能效果,ReadProcessMemory这个函数的声明是: BOOL WINAPI ReadProcessMemory( _In_ HANDLE hP
使用DDK提供的build进行编译驱动一点总结
duhaomin的专栏
11-21 7035
DDK通过调用build工具进行编译以及链接代码,而build又是通过传递一些编译的参数调用nmake工具进行解析makefile文件(其中,makefile文件中指定了需要编译的文件的依赖关系,指定的过程是有顺序的,要指明先编译哪些文件,后编译哪些文件;不管是build,还是nmake,甚至是VC,它们最终调用的都是cl.exe和link.exe),传参很多,可以自己查询文档;这里边makefi
Windows日志打印API的封装使用OutputDebugStringA
duhaomin的专栏
06-03 5461
C++编程中,经常会需要打印日志使用dbgview查看相应的一些信息,
深入解析内核 Inline Hook 实现
"详谈内核的Inline Hook实现" 本文深入探讨了内核级Inline Hook的原理和实现,Inline Hook是一种强大的技术,它允许我们在函数执行过程中插入自定义的行为,以达到控制或过滤函数操作的目的。在理解Inline Hook之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值