自写API绕过R3下所有HOOK

最新推荐文章于 2023-12-12 02:41:52 发布
最新推荐文章于 2023-12-12 02:41:52 发布
阅读量6.9k 收藏 10
点赞数 1
分类专栏: 驱动内核 文章标签: hook api c string null user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evi10r/article/details/6952030
版权
本文通过实例展示了如何在动态调试中,绕过R3层的HOOK,重点分析了在FindWindowW函数中如何处理类名参数,以实现API调用的正常执行。
摘要由CSDN通过智能技术生成
拿FindWindow来做测试,先OD跟一下 
HWND hWnd=::FindWindow(_T("SciCalc"),_T("计算器"));
::SendMessage(hWnd,WM_CLOSE,NULL,NULL);

为了方便分析参数,给FindWindow也传递了类名。
OD载入,bp FindWindowW,运行后断下来,来到FindWindowW里面

77D2C9C5    55              PUSH EBP
77D2C9C6    8BEC            MOV EBP,ESP
77D2C9C8    33C0            XOR EAX,EAX
77D2C9CA    50              PUSH EAX
77D2C9CB    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
77D2C9CE    FF75 08         PUSH DWORD PTR SS:[EBP+8]
77D2C9D1    50              PUSH EAX
77D2C9D2    50              PUSH EAX
77D2C9D3    E8 8AFFFFFF     CALL USER32.77D2C962
77D2C9D8    5D              POP EBP
77D2C9D9    C2 0800         RETN 8

FindWindowW里面其实又调用了USER32!InternalFindWindowExW,这个函数接收5个参数,第三个是类名,第四个是标题,其他参数不用管,跟进去看下 

                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  W1nds
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
基于VEH的无痕HOOK

				
			

			

				

					小龙在线
				

				

					08-09
					
					357
					
				

			

		

		

			
				
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。

			
		

	



                

              
                



	

		

			

				
					
VB6实现Ring3下直接调用Ring0层函数,反一切R3API Hook

				
			

			

				

					a1875566250的专栏
				

				

					05-20
					
					6740
					
				

			

		

		

			
				
接论坛帖子:http://topic.csdn.net/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html
例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。

添加Module1

Private asm_CallCode() As Byte, KiFastSystemCall&, KiIntSyst

			
		

	



                


  
              

                


	

		

			

				
					
自写Apir3Api函数hook

				
			

			

				

					被遗弃的庸才博客
				

				

					08-13
					
					949
					
				

			

		

		

			
				
这里验证的环境是win7 64位和win10 64位

首先是64位程序,这里由于win7和win10的调用号不同,需要根据所使用的系统修改相应的调用号,顺带说明一下win64的vs程序是不支持内联汇编,这里是我自己下载的intel的parallel studio使得vs支持了内联汇编。


#include<windows.h>

/*------------------------...

			
		

	





	

		

			

				
					
对付API-splicing的一种简单方法

				
			

			

				

					
				

				

					04-25
					
					961
					
				

			

		

		

			
				
 对于拦截API函数通常使用一种叫splicing的方法。此法的本质就是用JMP指令替换函数起始处的5个字节,将控制权传递给拦截程序。这种技术广泛应用于个人防火墙中,以防木马程序将自己的代码注入到其它可访问网络进程的地址空间中。然而,木马程序作者们可以采用不同的技术来穿透防火墙。比如说很流行的防火墙Agnitum Outpost的第三版就可以轻松绕过(详见MS-REM的文章《使用inject绕过

			
		

	



		

			
		



	

		

			

				
					
C# 优雅的实现ApiHook

				
			

			

				

					记事本
				

				

					09-21
					
					2655
					
				

			

		

		

			
				
全部源码下载:https://download.csdn.net/download/vblegend_2013/10680642

 通过继承NtAPIHook&lt;泛型委托&gt; 定义API ,并提供绕过Hook的源函数Origin委托

此模块支持 32位和64位

 

Hook处理类


using System;
using System.Runtime.InteropService...

			
		

	





	

		

			

				
					
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言

				
			

			

				

					06-12
				

			

		

		

			
				
(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时...

			
		

	





	

		

			

				
					
r3epthook-master.zip

				
			

			

				

					11-29
				

			

		

		

			
				
这种技术在恶意软件中可能被用来隐藏恶意活动,例如,通过hook系统API来隐藏网络通信或数据存储,或者绕过安全软件的检测。  然而,EPT hooking并非没有局限性。它的实现需要对虚拟化技术和操作系统内核有深入理解,...

			
		

	





	

		

			

				
					
ring3下伪装进程名绕过HS 部分Inline hook (by 小枫)

				
			

			

				

					OSReact的专栏
				

				

					07-12
					
					3449
					
				

			

		

		

			
				
以前有人发过类似文章(或者说我抄袭了吧。),但是那个代码我测试了已经不能用了。貌似MFC上也会出错。这里我的代码可以在mfc上使用。
此方法不需注入就读写Hackshield的进程地址空间数据,以及其它API的Detour Hook。【不能用于过保护。】
HS白名单可用伪装的进程列表,
代码:
 1. Name: patcher.exe
 2. Name: WerFault.exe

			
		

	





	

		

			

				
					
绕过所有用户层HOOK

				
			

			

				

					crkres9527
				

				

					10-08
					
					1015
					
				

			

		

		

			
				
A、分析API函数原理

   B、自写API函数

   C、SYSENTER指令

   D、硬编码_emit

   E、模拟FindWindow函数  

 

PUNICODE_STRING

MOV EAX,117A

7C92E510 &gt;  8BD4            MOV EDX,ESP

7C92E512    0F34            SYSENTER

 
...

			
		

	





	

		

			

				
					
易语言使用APIhook进行拦截文件读写

				
			

			

				

					09-02
				

			

		

		

			
				
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook

			
		

	





	

		

			

				
					
Hook Shadow SSDT(源码)

				
			

			

				

					08-18
				

			

		

		

			
				
Hook Shadow SSDT.c的源代码,适合于学习以及应用分析。

			
		

	





	

		

			

				
					
SSDTHook实现进程保护

				
			

			

				

					06-29
				

			

		

		

			
				
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379

			
		

	





	

		

			

				
					
易语言 HOOK API例子

				
			

			

				

					03-07
				

			

		

		

			
				
这个例子是HOOK 弹出消息框的例子
HOOK MessageBoxA 截取消息

			
		

	





	

		

			

				
					
Windows内核新手上路2——挂钩shadow SSDT

				
			

			

				

					多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
				

				

					08-15
					
					1680
					
				

			

		

		

			
				
Windows内核新手上路2——挂钩shadow SSDT
         文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUser

			
		

	





	

		

			

				
					
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护

				
			

			

				

					追逐光芒,追随内心
				

				

					10-28
					
					1902
					
				

			

		

		

			
				
#include "struct.h"

#define debug_pott_offset	0x298
//#define debug_pott_offset	0x1f0








DWORD	changge_size_NtClose = 0;									//NtClose被修改了N字节
PUCHAR	ori_head_NtClose = NULL;									//NtClose的前N字节数组
PVOID	ori_addr_NtClose = NULL;									//NtCl..

			
		

	





	

		

			

				
					
程序防多开之二:程序窗口检测

					
最新发布

				
			

			

				

					RitMan的博客
				

				

					12-12
					
					1235
					
				

			

		

		

			
				
通过循环调用NtUserFindWindowEx()来获取窗口句柄,并通过窗口句柄获取PID,实现多开检测.

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 4

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值