自实现API, 过所有用户层HOOK

最新推荐文章于 2022-05-09 01:41:33 发布
最新推荐文章于 2022-05-09 01:41:33 发布
阅读量574 收藏
点赞数
分类专栏: C/C++
本文转载自:http://blog.csdn.net/u012410612/article/details/17174155 
//绕过用户层HOOK,自实现API函数  
//学习了郁金香驱动教学视频 043_绕过所有用户层HOOK(郁金香绕过的是FindWindow)  
//用相同的原理我实现了绕过SendMessageA()  
//实现过程中有一些感想一并记录  
//win xp x86  
//__declspec(naked)作用: 生成纯汇编  
#include <windows.h>  
#include <stdio.h>  
  
//7C92E4F0 >  8BD4             mov edx,esp  
//7C92E4F2    0F34             sysenter  
//7C92E4F4 >  C3               retn  
__declspec(naked) void sysFastCall()  
{  
    _asm  
    {  
        mov edx,esp;    //到达这里时会有堆栈顶是两个返回地址,然后才是参数,貌似每个api都是  
                        //所以定义sysFastCall和SendMyMessageA来模拟堆栈  
        __emit 0x0f;    //sysenter硬编码  
        __emit 0x34;  
    }  
}  
  
//_stdcall 规定参数从右往左依次压栈  
__declspec (naked) LRESULT __stdcall SendMyMessageA(HWND h, UINT Msg, WPARAM wParam, LPARAM lParam)  
{  
    _asm  
    {  
        mov eax,0x11cc;     //内核函数功能号  
        call sysFastCall;  
        retn 0x1c;          //这个必须和API对应相同,也就是说传入内核的参数必须一样,  
                            //内核会严格检验参数个数与有效性  
    }  
}  
  
int main(void)  
{  
    HWND h = FindWindowA(NULL, "计算器");  
    _asm{  
        push 0x01;          //这三个是API调用过程中传入的固定数字  
        push 0x2b0;         //不用WM_CLOSE,用WM_DESTROY也是一样的,所以应该都是一样的吧。。没有每个测试  
        push 0;             //刚好和压入参数个数组成7个参数(retn 0x1c)  
    }  
    SendMyMessageA(h, WM_CLOSE, NULL, NULL);  
    return 0;  
}


hksoobe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HOOK api 实现封包截取.zip
08-06
易语言作为中国本土的编程语言,提供了方便的HOOK功能,使得开发者能够轻松实现API函数的拦截与替换。 首先,我们要理解什么是HOOKHOOK在计算机编程中,指的是在特定的事件或操作发生时,系统会调用预先设定的...
用户HOOK思路
weixin_34418883的博客
06-01 108
以FindWinow为例,首先逆向FindWindow,分析写出下面代码 #pragma pack(1)typedef struct _UNICODE_STRING {    USHORT Length;    USHORT MaximumLength;      PWSTR  Buffer;  } UNICODE_STRING,*PUNICODE_STRING;#pragma pack() ...
绕过所有用户HOOK
crkres9527
10-08 1002
A、分析API函数原理    B、自写API函数    C、SYSENTER指令    D、硬编码_emit    E、模拟FindWindow函数    PUNICODE_STRING MOV EAX,117A 7C92E510 &gt;  8BD4            MOV EDX,ESP 7C92E512    0F34            SYSENTER   ...
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 662
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
实现API绕过用户HOOK
挖树
03-20 831
开始正文,用NtReadVirtualMemory函数做例子 0.获取自实现函数地址 如果是自己写的函数,那就把你写入的空间首地址整过来 如果是系统自带内核函数,直接使用windbg: 就可以获得函数地址! 1.然后将该函数地址放置在第一个系统服务表的尾部 因为上图有0x11C个函数,所以我们要填充在0x11d处(尾部) 2.将函数个数+1 3.,接下来去修改函数参数字节个数表 因为原本...
API-HOOK.rar_api hook_hook api_hook 实现划词_屏幕取词_屏幕取词api
09-20
总的来说,这个API_HOOK源码提供了一个了解和学习如何利用API Hook技术实现屏幕取词功能的实例,涵盖了Windows编程、Hook技术以及可能的NLP应用。对于想要深入理解Windows系统级编程和Hook机制的开发者来说,这是一...
hook api 应用
04-19
"hookTest"可能是一个源代码文件夹或者项目名称,其中包含了实现API Hook的具体代码。"Release"目录则通常包含编译后的可执行文件,这是在优化设置下编译的版本,适用于最终部署和运行。 在实际应用中,API Hook的...
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
- **APIHook.cpp**: 这个文件可能包含了实现APIHook核心功能的代码,包括API的挂钩逻辑和文件监控的处理函数。 - **HookTest.cpp**: 作为测试用例,这个文件可能包含了调用APIHook功能并检查其正确性的示例代码。 ...
HOOK API 实现文件隐藏 源代码
05-08
标题中的“HOOK API 实现文件隐藏 源代码”指的是使用HOOK技术来隐藏文件的一种编程实践。HOOK API是Windows操作系统中的一种技术,它允许开发者在系统调用或特定事件发生时插入自定义代码,以便在特定时刻进行干预...
ApexDebug_apex反调试源码_apexdebug_自建调试_
10-03
apex反调试源码。。驱动级反调试。自建调试体系。
XjunDbg调试器
10-08
OD动态调试器过检测个人版本,xiaojun大牛个人版调试器
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
最新发布
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友可以下载来看看,里面有VT完整的安装框架代码,以及用户MFC工具源代码,中文备注,很多学习vt的朋友可能都没有完整的64位系统的VT完整框架的代码,所以学习的朋友可以下载来看看,有编译好的,也可以自行编译修改,祝大家学习愉快。
hook_api_delphi_DELPHIHOOK_hook_
10-01
当我们谈论"hook_api_delphi_DELPHIHOOK_hook_"时,我们实际上是在讨论如何在Delphi程序中实现API钩子(API Hook)。API钩子是一种技术,允许开发者截取或拦截系统调用,以便在调用目标函数之前或之后执行自定义代码...
所有种类的钩子,用户API HOOK,内核驱动的SSDT-hook,IDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户API Hook、内核驱动的SSDT(System Service Dispatch Table)Hook、IDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
用户hook
04-05 346
调用SetWindowsHookEx添加到hook链。
对付API-splicing的一种简单方法
04-25 954
 对于拦截API函数通常使用一种叫splicing的方法。此法的本质就是用JMP指令替换函数起始处的5个字节,将控制权传递给拦截程序。这种技术广泛应用于个人防火墙中,以防木马程序将自己的代码注入到其它可访问网络进程的地址空间中。然而,木马程序作者们可以采用不同的技术来穿透防火墙。比如说很流行的防火墙Agnitum Outpost的第三版就可以轻松绕过(详见MS-REM的文章《使用inject绕过防
HOOK汇总
liujiayu2的专栏
07-10 1009
HOOK技术主要分为两大类,一是内核HOOK,一是用户HOOK. 用户HOOK也就是在ring3环境下hook kenerl32.dll、 User3.dll、Gui32.dll、Advapi.dll等导出的函数。而内核HOOK就是HOOK只有ring0级别环境下才能操作写入改变的内核 对象,例如SSDT系统服务描述符表等。综合而言,主要有以下9种HOOK技术。 (1)消息钩
绕过DebugPort清零自建调试体系
haodawei123的博客
03-16 3023
g_DebugPort是个全局变量通过NtCreateDebugObject来创建,在进程的回调句柄里面,然后将
VC++深入学习:Windows API与MFC全面解析
最后,Lesson20介绍了Hook技术和数据编程,这是进行系统级监控和自定义行为实现的重要手段。Hook允许开发者截取并处理特定的消息或事件,而数据编程则涉及如何高效地存储和访问数据。 这个教程旨在提供一个全面的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值