IAT HOOK

最新推荐文章于 2024-05-16 14:14:23 发布
最新推荐文章于 2024-05-16 14:14:23 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: VC HOOK 文章标签: IAT HOOK PE HOOK 钩子 VC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendan/article/details/47011471
版权
VC 同时被 2 个专栏收录
125 篇文章 4 订阅
订阅专栏
HOOK
13 篇文章 2 订阅
订阅专栏

最近需要用到IAT HOOK,为方便自己,参考了网上的例子,自己封装成了一个类。

首先是PE头定义,文件PE.h

#ifndef _PE_H_
#define _PE_H_
#include <Windows.h>


/**************************************/
/*	PE DOS头,占64个字节,				*/
/*	我们只关心e_magic和e_lfanew			*/
/**************************************/
typedef struct tagIMAGE_DOS_HEADER
{
	byte e_magic[2];	// 4D(M) 5A(Z) 2字节
	byte bXX[58];
	int e_lfanew;		// 4字节
} MY_IMAGE_DOS_HEADER;


/********************************************
/*		数据目录表结构						*/
/********************************************/
typedef struct tagIMAGE_DATA_DIRECTORY 
{
	int   VirtualAddress;
	int   Size;
} MY_IMAGE_DATA_DIRECTORY;


/************************************************************************/
/*	PE头,占4+20+224=248个字节											 */
/*	我们只关心Signature和数据目录表										 */
/************************************************************************/
typedef struct tagIMAGE_PE_HEADER
{
	byte Signature[4]; // 4个字节:50(P) 45(E) 00 00
	byte bXXX[20];	   // IMAGE_FILE_HEADER
	byte bYYY[96];	   // 可选头前面96个字节,我们不关心
	MY_IMAGE_DATA_DIRECTORY DataDirectory[16];
} MY_IMAGE_PE_HEADER;


/************************************************************************/
/*         映像输入结构,一个这样的结构表示一个DLL                       */
/************************************************************************/
typedef struct tagIMAGE_IMPORT_DESCRIPTOR 
{
	int   OriginalFirstThunk;	// 原始的IAT,存放导入的API名字
	int   TimeDateStamp;  
	int   ForwarderChain;
	int   Name;					// 存放导入的DLL名字所在的内存起始RVA地址
	int   FirstThunk;			// 导入该DLL的第一个API接口地址
} MY_IMAGE_IMPORT_DESCRIPTOR;


/************************************************************************/
/*		 THUNK不好翻译呀,一个这样的结构表示一个API输入信息				*/
/************************************************************************/ 
typedef struct tagIMAGE_THUNK_DATA32 
{
	int AddressOfData;  
} MY_IMAGE_THUNK_DATA32;



#endif	// _PE_H_

----------------------------------------------------------------

我的IAT HOOK类头文件:IAT.h

#pragma once
#include "PE.h"


class CIAT
{
public:
	CIAT(void);
	~CIAT(void);

	int Hook(int hModule, char *pszDll, char *pszApiName, int iNewApiAddr);
	void UnHook(void);

private:
	int GetImageImportDescriptorAddr(int hModule);	// 获取指定模块的IAT表入口地址
	int GetApiIatAddr(int hModule, MY_IMAGE_IMPORT_DESCRIPTOR* pIID, char *pszApiName);
private:
	MY_IMAGE_DOS_HEADER m_dosHeader;
	MY_IMAGE_PE_HEADER m_peHeader;
	int m_iOldApiAddr;
	int m_iHookAddr;
};

----------------------------------

IAT.cpp文件:

#include "StdAfx.h"
#include "IAT.h"


CIAT::CIAT(void)
{
	m_iOldApiAddr = 0;
	m_iHookAddr = 0;
}


CIAT::~CIAT(void)
{
	UnHook();
}

/**
@Name:    GetImageImportDescriptorAddr
@Brief	  获取指定模块的导入表入口地址   
@Param:   int hModule	模块句柄,即入口地址
@Return:  int
*/
int CIAT::GetImageImportDescriptorAddr(int hModule)
{
	int iIatAddTableress = 0;
	byte e_magic[2] = {'M', 'Z'};
	byte Signature[2] = {'P', 'E'};

	// 取DOS头
	RtlMoveMemory((void*)&m_dosHeader, (void*)hModule, 64);
	if (memcmp(e_magic, m_dosHeader.e_magic, 2) != 0)
	{
		return 0;
	}

	// 取PE头
	RtlMoveMemory((void*)&m_peHeader, (void*)(hModule + m_dosHeader.e_lfanew), 248);
	if (memcmp(Signature, m_peHeader.Signature, 2) != 0)
	{
		return 0;
	}

	// VirtualAddress存的是RVA,即相对虚拟地址,所以必须加上模块起始地址
	iIatAddTableress = hModule + m_peHeader.DataDirectory[1].VirtualAddress;
	return iIatAddTableress;
}


/**
@Name:    Hook
@Brief	  IAT HOOK   
@Param:   int hModule		一个程序有很多模块,几乎每个模块都有IAT,
							这里传你想要HOOK的模块句柄,即入口地址
							如果hModule <= 0,则HOOK exe模块的IAT
@Param:   char * pszDll		要HOOK的API所在的DLL名字,如User32.dll
@Param:   char * pszApiName 要HOOK的API名字,如MessageBoxA
@Param:   int iNewApiAddr	你的API地址
@Return:  成功返回旧的API地址,失败返回0
*/
int CIAT::Hook(int hModule, char *pszDll, char *pszApiName, int iNewApiAddr)
{
	if (pszDll == NULL || pszApiName == NULL  || iNewApiAddr <= 0)
	{
		return 0;
	}
	UnHook();

	hModule = hModule > 0 ? hModule : (int)GetModuleHandle(NULL);
	int iIIDAddr = GetImageImportDescriptorAddr(hModule);
	if (iIIDAddr <= 0)
	{
		return 0;
	}

	MY_IMAGE_IMPORT_DESCRIPTOR *pIID = (MY_IMAGE_IMPORT_DESCRIPTOR*)iIIDAddr;
	while(pIID != NULL)
	{
		// 最后一个IID数据全为0
		static int iIIDEnd[5] = {0};
		if (memcmp(pIID, iIIDEnd, 20) == 0)
		{
			break;
		}

		// 判断下是不是我们要HOOK的DLL
		char* dllName = (char*)(hModule + pIID->Name);
		if(dllName == NULL || stricmp(dllName, pszDll) != 0)
		{
			pIID++;
			continue;
		}

		// 获取好HOOK的API地址
		m_iHookAddr = GetApiIatAddr(hModule, pIID, pszApiName);
		if (m_iHookAddr <= 0)
		{
			return 0;
		}

		DWORD dwOldProtect = 0; 
		VirtualProtect((LPVOID)m_iHookAddr, 4, PAGE_READWRITE, &dwOldProtect); 
			m_iOldApiAddr = *(int*)m_iHookAddr;
			*(int*)m_iHookAddr = iNewApiAddr; 
			//WriteProcessMemory(GetCurrentProcess(), (LPVOID)m_iHookAddr, &iNewApiAddr, 4, NULL);
		VirtualProtect((LPVOID)m_iHookAddr, 4, dwOldProtect, &dwOldProtect);
		
		return m_iOldApiAddr;
	}

	return 0;
}

void CIAT::UnHook(void)
{
	if (m_iHookAddr <= 0)
	{
		return;
	}

	DWORD dwOldProtect = 0; 
	VirtualProtect((LPVOID)m_iHookAddr, 4, PAGE_READWRITE, &dwOldProtect); 
	*(int*)m_iHookAddr = m_iOldApiAddr; 
	//WriteProcessMemory(GetCurrentProcess(), (LPVOID)m_iHookAddr, &m_iHookAddr, 4, NULL);
	VirtualProtect((LPVOID)m_iHookAddr, 4, dwOldProtect, &dwOldProtect);
}


/**
@Name:    GetApiIatAddr
@Brief	  取指定API的IAT地址   
@Param:   int hModule
@Param:   MY_IMAGE_IMPORT_DESCRIPTOR * pIID
@Param:   char * pszApiName
@Return:  int
*/
int CIAT::GetApiIatAddr(int hModule, MY_IMAGE_IMPORT_DESCRIPTOR* pIID, char *pszApiName)
{
	if (hModule <=0 || pIID == NULL || pszApiName == NULL)
	{
		return 0;
	}

	MY_IMAGE_THUNK_DATA32 *pThunkData = NULL;
	int *pIAT = NULL;
	pThunkData = (MY_IMAGE_THUNK_DATA32 *)(hModule + pIID->OriginalFirstThunk);
	pIAT	   = (int *)(hModule + pIID->FirstThunk);

	while(pThunkData != NULL && pThunkData->AddressOfData != NULL)
	{
		// 判断是否是以函数名字的方法导入
		// 0表示以名字方式导入
		// 1表示已序号方式导入
		if ((pThunkData->AddressOfData & 0x80000000) == 0)
		{
			char* functionname = (char*)(hModule+pThunkData->AddressOfData + 2);
			if (stricmp(functionname, pszApiName) == 0)
			{
				return (int)pIAT;
			}
		}

		pThunkData++;
		pIAT++;
	}
	return 0;
}

----------------------------------------

类编写完毕,测试代码如下:

CIAT g_IAT;
typedef int (WINAPI *PFN_MessageBoxA)(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);
PFN_MessageBoxA pfnMessageBoxA = NULL;

int
	WINAPI
	MyMessageBoxA(
	__in_opt HWND hWnd,
	__in_opt LPCSTR lpText,
	__in_opt LPCSTR lpCaption,
	__in UINT uType)
{
	return pfnMessageBoxA(hWnd, "Hello rrr", "you are xxx", uType);
}


// 导入表
void CPE_TestDlg::OnBnClickedBtnImportTable()
{
	pfnMessageBoxA = (PFN_MessageBoxA)m_IAT.Hook(NULL, "User32.dll", "MessageBoxA", (int)MyMessageBoxA);
}

-------------------------------------------------

效果截图:














friendan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IAT Hook
stmlg的博客
05-15 292
Chook Hook 三步走 WFH 1. WHRER 你要hook的函数(地址) 2. FIND 找到你的函数地址 3. HOOK 这个函数 作用 修改数据(修改参数,修改返回值) 改变被hook函数行为 考虑这种情况 只能返回 加密后的变量x, 如果我们想要 函数里边的x 修改或者监控 ,怎么办呢? 找到dll , 修改这个dll的功能。 导入表结构IAT表 程序加载前 程序加载后(IAT表会断裂 成真正的函数地址) 不要管 ring0 和 ring 3 ,IAT hook 都这
IAT HOOK、EAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5757
导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入表 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出表hook原理跟导入表相同,步骤也差别不大 但是二者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
Pandas中at、iat函数详解(1)
最新发布
m0_61331491的博客
05-16 453
Python所有方向路线就是把Python常用的技术点做整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。学习Python常用的开发软件都在这里了,给大家节省了很多时间。寻找有志同道合的小伙伴,互帮互助,群里还有不错的视频学习教程和PDF电子书!寻找有志同道合的小伙伴,互帮互助,群里还有不错的视频学习教程和PDF电子书!
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 689
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
Python 技巧汇总:一网打尽各种索引 iloc,loc,ix,iat,at…
m0_59596937的博客
05-23 2325
数据处理,是数据分析、数据模型成败的关键环节。娴熟简洁的数据处理技巧,是提高建模效率和建模质量的必要能力。 今天给大家总结下Pandas的使用方法,方便大家,也方便自己查阅。 喜欢记得收藏、关注、点赞。 一、Pandas索引概述 很多人在使用Pandas处理数据时,总会迷失在data[]、iloc()、loc()、ix()中,似乎记得,又似乎不记得,每到用时都需要百度,不知所以然的解决了问题,下次继续百度,记忆点基本上非常混乱。总结本文,希望能解决这个问题,通过一个简单的案例彻底搞明白这几种索引方法到底有
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
C++封装IATHOOK类实例
09-04
在C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
易语言IAT和EAT Hook例程纯源码
05-19
易语言IAT和EAT Hook例程纯源码
[易语言源码]-雷氏IATHOOK的写法
05-06
[易语言源码]-雷氏IATHOOK的写法
IAT(import address table) hook C++实例
09-13
C++ 通过导入表(IAT)实现inline hook,已经过测试
给别人程序添加打开自己的网址,弹信息框以及IATHook--32位PE模块应用-易语言
06-12
模块我又加了一点功能,小幅度提升了取导入表信息的函数的效率,添加了更多注释, 并且我写了给外部 程序 添加 打开自己的网址,弹自己定义信息的信息框 这几个用到32PE模块的例子,来帮大家学习这个32PE模块的使用,还有我把IAT Hook的例子注释写得更加详细了,优缺点什么的都写进去了 有需要了解更多的可以去上面帖子链接看看 另外说一句:加弹网址 和加信息框这两个列子中 获取相应的函数的地址是通过导入表 在论坛上有一些给其他程序添加信息框的源码是利用了USER32.dllkerne l32.dll 等DLL在不同进程中地址都一样来实现的 但是不同的电脑地址就不一定了一样了 并且用导入表获取API地址的方式只要你要修改的程序中有相应的API 你在修改的时候就可以使用,利用了USER32.dllkerne l32.dll修改程序的话就只能用这几个DLL的API 所以用导入表获取API地址 可以使用的API更加丰富 也稳定 并且也可以自己修改导入表 就可以调用更多的API 以上只是本人的拙见 有问题还请大家指正
IAT HOOK 纯手工出品 适合新手学习-易语言
06-11
这个是用到了superEC和精易模块 ,其他就是几个简单的API(模块中自带). 搜索了一下论坛,2014年有个帖子,但是测试了一下不行,需要有dll.... 适合新手学习!大神勿喷. 注意事项: 1.易语言 版本:5.8 2.调试模式不可以,需要编译出来,为了方便下载,编译后打包刚好超过3MB.就没编译. 3.易语言的信息框就是messageboxA,反而模块中的MessageBoxA却hook不到...没有看模块的源码,也不知道是哪个模块里面的.这里请教高手解答一下.. 4. 界面很丑 讲一下这个hook的过程吧,比较有意思的,而且还有很大的拓展: 1.exe,dll可以统称为模块,dll其实和exe本质上是一样的.这里统称为PE文件. 2.当PE文件加载到内存的时候,导入表内保存的需要导入的函数列表,会被释放到内存,同时IAT表中原来的xx会被系统修改为真实的地址. 比如messagebox的真实地址就会被保存到进程空间的IAT表中!从此就不变了,除非重启. 3.那么如果我们自己做一个假函数(参数数量,参数类型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候, 就会跳转到我们的函数里面,我们的函数里面可以随意做任何事情.
Hook IAT hookdll资源表
11-21
`IATHook.cpp`是实现部分,而`IATHook.h`是头文件,包含接口声明和必要的类型定义。 4. **API HOOK IAT方法**: 实现Hook IAT有多种方法,包括: - **原地替换法**:直接修改目标进程的IAT,用钩子函数的地址替换...
Native API 和一般 API 的 IAT Hook
09-03
标题中的“Native API 和一般 API 的 IAT Hook”是指在编程中使用钩子技术来拦截和修改系统调用或库函数的行为。IAT(Import Address Table)是Windows操作系统中的一个概念,它存储了程序在运行时如何访问导入的...
Pandas中at、iat函数详解
热门推荐
W_weiying的博客
12-04 2万+
at 函数:通过行名和列名来取值(取行名为a, 列名为A的值) iat 函数:通过行号和列号来取值(取第1行,第1列的值) 本文给出at、iat常见的用法,并附上详细代码。 1. 首先创建一个DataFrame(data) Out[1]: pd.DataFrame(np.arange(15).reshape(5,3), columns=list('ABC'), index=list('a...
使用IAT替换实现Hook API详解
"替换IAT中的导入函数地址实现Hook API技术" 在Windows程序设计中,Hook API是一种常用的技术,用于拦截和修改其他进程中的函数调用。这种技术通常用于调试、监控、性能分析以及功能扩展等场景。本摘要将详细讨论...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

friendan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值