dump 使用小工具设计

最新推荐文章于 2024-08-10 08:27:46 发布
最新推荐文章于 2024-08-10 08:27:46 发布
阅读量930 收藏
点赞数
分类专栏: vcbcbdelphi的window编程 病毒汇编和调试逆向技术加脱壳 文章标签: 工具 function hook path list dll
 
/*
;配置文件格式
[hook_1]
dll=kernel32.dll
fun=GetModuleHandleA
min_addr=0x1000000
max_addr=0x2000000
*/

#include <tchar.h>
#include <windows.h>
#include <stdio.h>

#define MAX_HOOK_FUNCTION       100

typedef struct _HOOK_FUNCTION_LIST {
   TCHAR   szDllName[MAX_PATH];               // dll 路径
   CHAR   szFunctionName[MAX_PATH];       // 函数名
  
   ULONG   PointerToCode;                       // 函数入口
   BYTE   cOrgCode[5];                       // 函数入口的原始 5 个字节
   BYTE   cNewCode[5];                       // 函数入口 hooked 5 个字节
  
   // 当返回地址在下面两个值之间,就 pause
   ULONG   uMinReturnAddr; // 返回地址的最小值
   ULONG   uMaxReturnAddr; // 返回地址的最大值
} HOOK_FUNCTION_LIST, *PHOOK_FUNCTION_LIST;

HMODULE __hModule; // 模块实例
CHAR __szFullPath[MAX_PATH]; // 当前模块的完整路径
CHAR __szMsgText[0x100]; // 弹出消息的文本
HOOK_FUNCTION_LIST __HookFunctionList[MAX_HOOK_FUNCTION];
CRITICAL_SECTION __LockMessageBox;
HANDLE __hCurProcess;
ULONG __uTlsIndex;

#define _MY_STACK_SIZE       0x1000 // 应该够用了
VOID ClearHookFunctionList()
{
  
}

// 不进行堆栈溢出检查

PULONG GetMyStackBase()
{
   PULONG pStack = (PULONG)TlsGetValue(__uTlsIndex);
   if ( pStack == NULL )
   {
       pStack = (PULONG)VirtualAllocEx(__hCurProcess, NULL, _MY_STACK_SIZE * sizeof (ULONG), MEM_COMMIT, PAGE_READWRITE);
      
       ULONG uStackTop = _MY_STACK_SIZE - 1;
       pStack[uStackTop] = uStackTop;

       TlsSetValue(__uTlsIndex, pStack);
   }

   return pStack;
}

ULONG& GetMyStackTop()
{
   PULONG pStack = GetMyStackBase();
   return pStack[_MY_STACK_SIZE - 1];
}

ULONG PUSH_VALUE(ULONG uValue)
{
   PULONG pStack = GetMyStackBase();
   ULONG& uStackTop = GetMyStackTop();

   return (pStack[--uStackTop] = uValue);
}

ULONG POP_VALUE()
{
   PULONG pStack = GetMyStackBase();
   ULONG& uStackTop = GetMyStackTop();

   return pStack[uStackTop++];
}


VOID __cdecl /*禁止平栈*/ _pLeave_ProxyFunction(ULONG uDummyValue)
{  
   ULONG uReturnAddr = POP_VALUE();
   ULONG CalledFunction = POP_VALUE();

   PULONG pCurStack = &uDummyValue;
   pCurStack[2] = uReturnAddr; // 利用压入的值,改为返回到原始 code

   PHOOK_FUNCTION_LIST pHfl = __HookFunctionList;
   for ( int i = 0; i < MAX_HOOK_FUNCTION; i++ )
   {
       if ( CalledFunction == pHfl->PointerToCode )
       {
           DWORD dwTemp;

           WriteProcessMemory(__hCurProcess, (PVOID)CalledFunction, pHfl->cNewCode, 5, &dwTemp); // 重新 hook
           break;
       }

       pHfl++;
   }
}

ULONGLONG __declspec(naked) Leave_ProxyFunction()
{
   __asm
   {
       push   -1       // dummy value
       push   eax
       push   edx
       call   _pLeave_ProxyFunction
       pop       edx
       pop       eax
       ret
   }
}

VOID __fastcall Enter_ProxyFunction(
   PULONG pCurStack /* ecx 指向进入这个函数时的堆栈指针 */
   )
{
   /*
       pCurStack[0] = Function Address
       pCurStack[1] = Return Address
   */
   const ULONG CalledFunction = pCurStack[0];
   ULONG& uReturnAddr = pCurStack[1];
  
   PUSH_VALUE(CalledFunction);
   PUSH_VALUE(uReturnAddr);

   PHOOK_FUNCTION_LIST pHfl = __HookFunctionList;
   for ( int i = 0; i < MAX_HOOK_FUNCTION; i++ )
   {
       if ( CalledFunction == pHfl->PointerToCode )
       {
           DWORD dwTemp;
           WriteProcessMemory(__hCurProcess, (PVOID)CalledFunction, pHfl->cOrgCode, 5, &dwTemp); // 恢复被 hooked 函数
       }

       if ( (pHfl->uMinReturnAddr < uReturnAddr) && (uReturnAddr < pHfl->uMaxReturnAddr) )
       {
           EnterCriticalSection(&__LockMessageBox);
          
           wsprintf(__szMsgText, "函数 %s.%s 调用,返回地址是: 0x%08X!/n 祝你 Dump 成功!", pHfl->szDllName, pHfl->szFunctionName, uReturnAddr);
           MessageBox(NULL, __szMsgText, _T("提示"), MB_ICONSTOP | MB_DEFAULT_DESKTOP_ONLY);

           LeaveCriticalSection(&__LockMessageBox);
           break;
       }

       pHfl++;
   }

   uReturnAddr = (ULONG)Leave_ProxyFunction; // 修改返回地址
}

ULONG __declspec(naked) ProxyFunction()
{
   __asm
   {
       sub       dword ptr [esp], 5   // 得到函数入口地址
       mov       ecx, esp                   // 栈顶送入 Enter_ProxyFunction 参数
       call       Enter_ProxyFunction
       ret                                   // 转到原始函数
   }
}

ULONG HexStringTo(PCTSTR pszString)
{
   ULONG uResult = 0;

   while ( *pszString != 0 )
   {
       TCHAR c = *pszString;
      
       uResult <<= 4;
       if ( c >= _T('a') && c <= ('f') )
       {
           uResult += c - _T('a') + 10;
       }
       else if ( c >= _T('A') && c <= ('F') )
       {
           uResult += c - _T('A') + 10;
       }
       else if ( c >= _T('0') && c <= _T('9') )
       {
           uResult += c - _T('0');
       }
       else
       {
           uResult = 0;
       }

       pszString++;
   }

   return uResult;
}

VOID Initialize()
{
   __uTlsIndex = TlsAlloc();
   __hCurProcess = GetCurrentProcess();
   InitializeCriticalSection(&__LockMessageBox);
  
   //
   // 获取配置文件路径
   TCHAR szCfgPath[MAX_PATH];
   _tcsncpy(szCfgPath, __szFullPath, MAX_PATH);
   PTSTR p = _tcsrchr(szCfgPath, _T('.'));
   if ( p != NULL )
   {
       _tcscpy(p, _T(".ini"));
   }
  
   //
   // 重配置文件中读取数据,初始化 hook function list
   PHOOK_FUNCTION_LIST pHfl = __HookFunctionList;
   memset(pHfl, 0, sizeof (pHfl));

   for ( int i = 0; i < MAX_HOOK_FUNCTION; i++ )
   {
       TCHAR szMinAddr[50];
       TCHAR szMaxAddr[50];
       TCHAR szAppName[MAX_PATH];

       wsprintf(szAppName, _T("hook_%d"), i + 1);

       if (
           GetPrivateProfileString(szAppName, _T("dll"), _T(""), pHfl->szDllName, MAX_PATH, szCfgPath) == 0 ||
           GetPrivateProfileString(szAppName, _T("fun"), _T(""), pHfl->szFunctionName, MAX_PATH, szCfgPath) == 0 ||
           GetPrivateProfileString(szAppName, _T("min_addr"), _T(""), szMinAddr, MAX_PATH, szCfgPath) == 0 ||
           GetPrivateProfileString(szAppName, _T("max_addr"), _T(""), szMaxAddr, MAX_PATH, szCfgPath) == 0
           )
       {
           break;
       }

       pHfl->uMinReturnAddr = HexStringTo(szMinAddr);
       pHfl->uMaxReturnAddr = HexStringTo(szMaxAddr);
      
       pHfl++;
   }
  
   //
   // 被 hook 的函数最好不要有下列 api, 并且不支持 fastcall
   // LoadLibrary
   // GetProcAddress
   // WriteProcessMemory
   // EnterCriticalSection
   // LeaveCriticalSection
   // MessageBox
   // wsprintf
   pHfl = __HookFunctionList;
   for ( int j = 0; j < MAX_HOOK_FUNCTION; j++ )
   {      
       HMODULE hModule = LoadLibrary(pHfl->szDllName);
       if ( hModule != NULL )
       {
           pHfl->PointerToCode = (ULONG)GetProcAddress(hModule, pHfl->szFunctionName);
           if ( pHfl->PointerToCode != NULL )
           {
               DWORD dwTemp;
              
               // call xxxx
               pHfl->cNewCode[0] = 0xe8;
               *(PULONG32)(pHfl->cNewCode + 1) = (ULONG)ProxyFunction - (pHfl->PointerToCode + 5);
              
               ReadProcessMemory(__hCurProcess, (PVOID)pHfl->PointerToCode, pHfl->cOrgCode, 5, &dwTemp);
               WriteProcessMemory(__hCurProcess, (PVOID)pHfl->PointerToCode, pHfl->cNewCode, 5, &dwTemp);

               pHfl++;
           }
       }
   }
}

VOID UnInitialize()
{
   DeleteCriticalSection(&__LockMessageBox);
}

BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, LPVOID p)
{
   if ( dwReason == DLL_PROCESS_ATTACH )
   {
       __hModule = hModule;

       GetModuleFileName(hModule, __szFullPath, MAX_PATH);

   //   __asm int 3
       Initialize();
   }
   else if ( dwReason == DLL_PROCESS_DETACH )
   {
       UnInitialize();
   }

   return TRUE;
}
iiprogram
关注
专栏目录
linux使用MAT分析dump文件
2401_84413420的博客
04-19 886
在这个部分总结了2019年到目前为止Java常见面试问题,取其面试核心编写成这份文档笔记,从中分析面试官的心理,摸清面试官的“套路”,可以说搞定90%以上的Java中高级面试没一点难度。本节总结的内容涵盖了:消息队列、Redis缓存、分库分表、读写分离、设计高并发系统、分布式系统、高可用系统、SpringCloud微服务架构等一系列互联网主流高级技术的知识点。(上述只是一个整体目录大纲,每个点里面都有如下所示的详细内容,从面试问题——分析面试官心理——剖析面试题——完美解答的一个过程)
dump文件生成工具DumpTool
01-26
DumpTool主要用来在用户机器上对目标进程生成dump文件,定位“卡死”、Crash等问题。 (1)MiniDump: 表示生成一个包含必要信息的dump文件,文件大小约200-500k,具体Flag =MiniDumpNormal|MiniDumpWithThreadInfo|MiniDumpWithHandleData|MiniDumpWithIndirectlyReferencedMemory (2)FullDump: 表示生成一个所有信息的完全dump文件,文件大小可能超过100M。 (3)生成的dump文件路径位于exe目录下的dump文件,文件名 2010-01-26 12.33.50_3256.dmp 前面部分表示日期,后面的3256表示进程ID。 (4)如果进程有多个实例,每个进程都会生成一个dump
nxdumptool:从Nintendo Switch游戏卡和已安装的SDeMMC标题生成XCINSPHFS0ExeFSRomFSCertificateTicket转储
02-03
nxdumptool:从Nintendo Switch游戏卡和已安装的SDeMMC标题生成XCINSPHFS0ExeFSRomFSCertificateTicket转储
推荐开源项目:nxdumptool - Nintendo Switch的极致备份工具
gitblog_00082的博客
05-17 579
推荐开源项目:nxdumptool - Nintendo Switch的极致备份工具 nxdumptoolGenerates XCI/NSP/HFS0/ExeFS/RomFS/Certificate/Ticket dumps from Nintendo Switch gamecards and installed SD/eMMC titles.项目地址:https://gitcode.com/g...
开源项目推荐:nxdumptool —— 任天堂Switch的全方位数据备份工具
最新发布
gitblog_00618的博客
08-10 316
开源项目推荐:nxdumptool —— 任天堂Switch的全方位数据备份工具 nxdumptoolGenerates XCI/NSP/HFS0/ExeFS/RomFS/Certificate/Ticket dumps from Nintendo Switch gamecards and installed SD/eMMC titles.项目地址:https://gitcode.com/gh_...
dump文件生成工具使用介绍
痞子龙3D编程
08-11 2723
场景: 用户的机器上发生了死锁,没有调试环境,怎么快速定位? 用户的机器出现了Crash,你的程序没有提供自动捕获dump机制,或者捕获dump失败了? 遇到这类问题,开启远程调试成本又太高,最有的信息就是生成dump文件,然后通过dump文件查看callstack等信息定位。 Dump文件生成原理: 使用windbg调试器包含的dbghelp.dll库函数MiniDumpWri
DumpTool 工具 下载
05-10
dump文件产生工具
java heapdump 分析工具_Java Heap dump文件分析工具jhat简介
weixin_33618482的博客
02-13 1604
jhat 是Java堆分析工具(Java heap Analyzes Tool). 在JDK6u7之后成为标配. 使用该命令需要有一定的Java开发经验,官方不对此工具提供技术支持和客户服务。用法:jhat [ options ] heap-dump-file参数:options可选命令行参数,请参考下面的Optionsheap-dump-file要查看的二进制Java堆转储文件(Java ...
Java Heap dump文件分析工具jhat简介
热门推荐
铁锚的CSDN博客
11-24 5万+
jhat 是Java堆分析工具(Java heap Analyzes Tool). 在JDK6u7之后成为标配. 使用该命令需要有一定的Java开发经验. jhat 命令解析Java堆转储文件,并启动一个 web server. 然后用浏览器来查看/浏览 dump 出来的 heap. jhat 命令支持预先设计的查询, 比如显示某个类的所有实例. 还支持 对象查询语言(OQL, Object Query Language)。 OQL有点类似SQL,专门用来查询堆转储。 OQL相关的帮助信息可以在 jhat
java heap分析工具_Java Heap dump文件分析工具jhat简介
weixin_34663443的博客
03-04 1493
[开发、应用中老是会遇到OutOfMemory异常,而且常常是过一段时间内存才被吃光,这里可以利用java heap dump出jvm内存镜像,然后再对其进行分析来查找问题。《java heap dumjhat 是Java堆分析工具(Java heap Analyzes Tool). 在JDK6u7之后成为标配. 使用该命令需要有一定的Java开发经验,官方不对此工具提供技术支持和客户服务。用法:...
Linux Crash Dump分析工具设计与实现.pdf
09-07
Linux Crash Dump 分析工具设计与实现 Linux Crash Dump 分析工具设计与实现是一种基于 Linux 操作系统的故障诊断工具,该工具可以在 Linux 系统崩溃时生成 Crash Dump,并对 Dump 数据进行分析,以便快速诊断...
heapdump-tool工具
02-21
Heapdump-tool工具是专为Java开发者设计的,用于生成和分析堆转储(Heap Dump)文件的强大工具。堆转储文件记录了Java虚拟机(JVM)在某一时刻的内存状态,包括对象、类、垃圾收集器信息等,这对于诊断内存泄漏、...
MTK Dump 解析工具
05-09
但有时候,遇到设备无法开机的情况,或者需要将设备中的分区内容与刷机镜像进行比对等情况,就需要使用工具将设备中的分区内容dump出来了。在以前写的一篇博文《OTA升级失败排查》和《rkflashkit的安装与使用》中有...
MTK系统DUMP之Crash-8.0.1工具
06-09
MTK(MediaTek)系统DUMP之Crash-8.0.1工具是专为基于MediaTek芯片的Android设备设计的故障排查和日志收集工具。这个工具主要用于当设备遇到崩溃或异常情况时,帮助开发者或者技术人员分析并解决系统问题。在Android...
Windows下用于生成Dump文件的工具
04-04
工具名为Procdump,由Sysinternals开发,它是一个命令行实用程序,专门设计用来捕获进程的内存转储(Dump文件)。Dump文件包含了进程在特定时间点的内存快照,包括代码、数据和系统状态,这对于调试和诊断软件故障...
Switch双系统:2024.6,自己动手丰衣足食版
生活在别处
06-07 7362
首先,使用NSCB提取游戏文件,对其进行所需的修改,如更换图标和封面图片,以及编辑标题和TID等信息;Tesla-Menu是一款专为Switch大气层系统设计的悬浮菜单插件,它通过快捷键呼出,提供游戏途中快速访问系统功能、调整设置(如显示FPS、切换模式)及管理插件的能力,极大提升了操作便利性和系统自定义程度,是提升Switch游玩体验的实用工具。这是大气层系统独立运行的空间,与原装系统隔离的系统环境,你在emuMMC上的任何修改、操作都不会影响Switch的原装系统,保持了原装系统的纯净性和可恢复性。
switch最大选项数目_推荐一款Switch电脑上的模拟器
weixin_39794213的博客
12-12 1413
Ryujinx简介Ryujinx是由c#编写的一款跨平台的pc端模拟器使用要运行模拟器,至少电脑内存要大于8GB。小于8G,模拟器可能导致崩溃,或者性能无法接受。如果使用预制版本,则可以使用图形界面来运行游戏和自制软件:只需在选项>设置>常规选项卡>游戏目录菜单项中添加包含自制软件或游戏的目录。# 下载地址https://ryujinx.org/download源码构建:第一步:...
使用cadence jaspergold 仿真 dump波形
06-16
使用Cadence JasperGold进行仿真,可以通过以下步骤来生成dump波形: 1. 首先,打开JasperGold仿真工具并加载所需的设计文件和仿真脚本。 2. 运行仿真并等待仿真完成。 3. 仿真完成后,在仿真工具使用"dump"命令将波形数据保存到文件中。 4. 打开保存的波形文件并查看仿真结果。 需要注意的是,保存的波形数据文件格式通常为VCD或SAIF格式,需要使用专门的波形查看工具进行查看和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值