Inline Hook检测模块到驱动

最新推荐文章于 2023-05-28 11:16:45 发布
最新推荐文章于 2023-05-28 11:16:45 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: hook patch 算法 测试 产品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3085822
版权
本文介绍了在驱动中实现Inline Hook检测的过程,包括如何处理HOOK恢复的问题,以及使用深度递归进行函数调用链扫描。作者提到,虽然已经实现基本功能,但要达到产品级稳定还需进一步努力。同时,文章还提及堆栈回溯在定位恶意程序模块中的作用,并分享了计算被Patch掉的长度的具体算法。
摘要由CSDN通过智能技术生成

 by sudami

由于项目需要,驱动中要做所有的事情,所以我负责的一个小小的模块自然要全部在驱动中实现;

    小小的模块中一个小小的Inline Hook检测部分当然也不例外. 不过是要把某个函数调用链下所有调用过的函数都扫一遍,看是否存在恶意程序的干扰,自然用个深度递归就搞定,可是移植到驱动中,扫描是没问题,就怕那些变态的HOOK恢复不过来,还好,经过一小段时间的算法改进,差不多实现了. 当然,"实现了""产品级"是不可同日而语的,嘿嘿,但是总算前进了一小步吧,同时也期待wy同学的进展...

    还有,堆栈回溯也很好玩,其实没啥难度,关键是要仔细的理解,结合windbg+vm,然后自己写个驱动,下断点调试下,就知道那些寄存器中的东西,写code就简单了.这样做主要是回溯定位出恶意程序的模块,结合搜索隐藏模块那些东西,自然能找到他们...

    哎,高端调试很强大,稍微跟下,就能知道很多东西,看来以后得多学习~~~~

//
// 像 "微点/KV 2008"的JMP类型的HOOK,可能会在JMP前后留下一堆nop.
// 所以必须精确计算出要恢复的长度,无奈项目需要,检测模块全部得在
// 驱动中完成,所以把以前在R3写的艰难的移植到了驱动中,测试了下,还算
// 稳定,哎,一般到驱动做全模块的HOOK检测,稳定性降低了不少啊...
//           -- sudami 08/10/01
//

最低0.47元/天 解锁文章
iiprogram
关注
专栏目录
WIN64位驱动 InLine_HOOK框架
12-28
而“HookApi.h”则可能是定义了相关API接口,方便其他模块调用InLine_HOOK功能。对于初学者,理解这两个文件中的代码将有助于掌握InLine_HOOK的具体实现过程。 尽管InLine_HOOK在Win64环境下存在一些挑战,但其在...
用开源反汇编引擎检测inline hook
12-10
用开源反汇编引擎检测inline hook
检测API函数的InlineHook
weixin_30500663的博客
07-28 196
检测API函数的InlineHook 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName) 2 { 3 HMODULE hModule = GetModuleHan...
简单的INLINE HOOK检测
cackeme的专栏
09-24 4134
/*  @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深次的INLINE HOOK检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
Inline HOOK
Tandy12356_的博客
05-28 4331
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
InlineHook3(单步异常挂钩,监测调试器行为)
寻梦&之璐
05-11 274
#include <iostream> #include<Windows.h> char* p; int i; void JmpTarget(); void __declspec(naked) IdtEntry() { p = (char*)0x8003f120; for (int i = 0; i < 64; i++) { *p = ((char*)JmpTarget)[i]; p++; } __asm {
易语言x64-hook模块源码+实列
最新发布
07-30
在给定的资源中,"易语言x64-hook模块源码+实例"是关于易语言在x64架构下进行钩子(Hook)技术实现的资料包。钩子技术是Windows编程中的一种高级技巧,它允许程序监控并响应系统中的特定事件或行为。 1. **x64架构...
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
这个Rootkit可能包含了自己的内核驱动模块,通过Hook关键的系统调用来实现对端口操作的控制。一旦安装,Creature2ka能够有效地隐藏其存在,并且可能还包括其他恶意功能,如文件隐藏、进程隐藏等。 总的来说,...
inline hookcall ObOpenObjectByPointe的实现
03-17
内联钩子(inline hook)是一种非侵入式的钩子技术,它直接修改目标函数的机器指令,使控制流在执行目标函数前或后跳转到我们的钩子函数。这种方式对性能影响较小,但对精度要求较高,因为需要正确地重写和恢复原始...
代码实例分析android中inline hook
08-28
本片文章主要给大家通过代码示例分析了android中inline hook的用法是实现过程,需要的朋友跟着参考下吧。
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
内核所有模块导出函数inlinehook检测
cqyczj的专栏
04-26 1019
主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inlinehook。所以各种狡诈的inlinehook伎俩(mov eax ,xxxx add eax,xxxx,call eax)是逃不过检测的,除非它修改原始磁盘文件。不过可惜,在比较之前是可以进行md5验证的。若原始磁盘文件被修改,显然是昭然若揭了
4.Inline Hook模板
Mikasys的博客
11-14 209
#include "stdafx.h" #include "DebugTool.h" DWORD g_dwHookAddr; //Hook开始的地方 DWORD g_dwRetAddr; //Hook结束的地方 DWORD g_dwLength; //Hook字节数 PBYTE g_pCodePatch; //存储Hook原来的硬编码 DWORD g_dwHookFlag; //HOOK状态, 1 Hook成功, 0 HOOK 失败 typedef struct _REGISTER { DWORD
躲猫猫,用inline hook来进行验证
For Geek
04-19 220
Hook是一个非常强大的技巧,利用Hook,不仅可以起到监控进程,做自己想做的事,而且可以利用hook来进行一些check。 给出下面的main函数: #include <stdio.h> #include <Windows.h> #pragma warning(disable:4996) //key : ccaaa int main() { char s[256] =...
Android inline hook
zy531的专栏
11-27 1917
http://www.sanwho.com/248.html 在android中可以通过ptrace附加进程,然后向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩。目前,android上的注入hook基本上都是基于修改got表,从而达到hook拦截效果。比如,android中binder通信封装在libbinder.so里面,libbinder.so中和binder驱动打交道是通过系统
【2021.01.15】INLINE HOOK
oalken的博客
01-15 173
IAT HOOK的缺点 容易被检测。 只能HOOK IAT表中的函数。 例子 #include <Windows.h> #define PATCH_LENGTH 5 DWORD dwHookAddress = NULL; char szNewText[] = "Inline Hook"; void MessageBoxProc(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { //该函数想怎么写怎么写 没有限制
自己动手,制作inline hook扫描工具
M-先生
03-28 3044
很久没来论坛了,今天来跟大家一起讨论一下关于检测内核中inline hook IAT hook方面的知识 我们平时常用的工具中xuetr和kd都提供了这个功能,比较方便地可以让我们看出来是谁在我们的电脑中做了什么手脚 不过现在有很多软件或者游戏不希望我们看到它们做的种种坏事,纷纷封杀掉这些工具, 更有甚者检测到这类工具启动立马给我来个蓝脸或者重启 这也太霸道了,这到底成了谁的电脑了? 于
Android inline hook手记[转载]
weixin_30340617的博客
06-12 84
原网址:http://blog.dbgtech.net/blog/?p=51 作者:NetRoc Android inline hook手记 说到Inline hook,了解这个词的同志们都应该知道,无非是修改目标函数处的指令,跳转到自己的函数,并且提供调用原函数的stub,即可完成整个流程。但是在ARM下面情况和我们熟悉的x86有所不同。ARM芯片的运行状态分为arm和thumb两种模式,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值