某同学的inline hook检测程序简单逆向分析

最新推荐文章于 2023-05-28 11:16:45 发布
最新推荐文章于 2023-05-28 11:16:45 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: hook 汇编 exe 引擎 虚拟机 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3086722
版权
本文简要介绍了对一个inline hook检测程序的逆向分析过程。该程序在虚拟机环境下运行成功,但在主机上导致系统崩溃。程序通过发送IOCTL请求分配内存,并使用复杂的反汇编引擎进行inline hook检测,遇到异常时会调用打印函数显示错误信息。
摘要由CSDN通过智能技术生成
 

测试了下,主机上完全不行,虚拟机上运行成功过一次,然后运行了其他的ARK就BSOD的了。没有具体的分析dump文件;检测inline hook的结果不是很完善,且有一部分的错误. 简单说说我对程序的静态分析吧:

1. EXE运行后,得到NtQuerySystemInformation函数地址,传递SystemModuleInformation号获取系统模块信息,取得系统的基址和大小,并显示出来 - MoudleName,BaseAddress,ImageSize
2. 把ntoskrnl用LoadLibrary加载到内存中,方便后面的和内存对比分析
3. 调用GetProcAddress得到KeServiceDescr
最低0.47元/天 解锁文章
iiprogram
关注
专栏目录
用开源反汇编引擎检测inline hook
12-10
用开源反汇编引擎检测inline hook
简单INLINE HOOK检测
cackeme的专栏
09-24 4152
/*  @desc:目前只检测简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
内核所有模块导出函数inlinehook检测
cqyczj的专栏
04-26 1037
主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inlinehook。所以各种狡诈的inlinehook伎俩(mov eax ,xxxx add eax,xxxx,call eax)是逃不过检测的,除非它修改原始磁盘文件。不过可惜,在比较之前是可以进行md5验证的。若原始磁盘文件被修改,显然是昭然若揭了
InlineHook3(单步异常挂钩,监测调试器行为)
寻梦&之璐
05-11 287
#include <iostream> #include<Windows.h> char* p; int i; void JmpTarget(); void __declspec(naked) IdtEntry() { p = (char*)0x8003f120; for (int i = 0; i < 64; i++) { *p = ((char*)JmpTarget)[i]; p++; } __asm {
kernel inline hook 绕过vice检测
03-21 2559
创建时间:2005-11-05文章属性:原创文章提交:jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
如何区分ssdt hookinline hook钩子
01-25
4. **隐蔽性**:Inline Hook通常比SSDT Hook更难被检测,因为不涉及系统表的改动。 5. **复杂性**:SSDT Hook相对简单,只需要替换SSDT表中的指针;而Inline Hook需要理解目标函数的机器码,实现起来较为复杂。 在...
iOS静态inline hook
10-02
- **安全研究**:逆向工程,分析应用行为,检测漏洞。 ### 5. 注意事项与挑战 - **兼容性**:不同架构(如ARM64、i386)的汇编代码可能不同,需要处理跨平台问题。 - **安全性**:不当的HOOK可能导致程序崩溃或不...
thumb32inlinehook
06-11
"thumb32inlinehook"这个主题专门探讨的是在Thumb-2模式下进行函数内联挂钩的技术。 函数挂钩(Function Hooking)是一种常用的逆向工程和软件调试技术,它允许我们在程序执行到特定函数时插入自定义代码,以便监控...
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
远程hook dll注入winlogin进程 system权限
04-20
远程hook dll注入winlogin进程 system权限
检测内核已加载模块的所有导出函数是否被inlinehook
cdsntxz158的专栏
09-26 924
转自看雪:http://bbs.pediy.com/showthread.php?t=110216 好像此论坛还没有谁发过吧,在其他论坛见过,但是有下载限制的。无奈,只好自己写,发出来供像偶这样起步较晚的朋友们参考参考,高手就略过吧,哈哈 主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inli
检测API函数的InlineHook
weixin_30500663的博客
07-28 205
检测API函数的InlineHook 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName) 2 { 3 HMODULE hModule = GetModuleHan...
自己动手,制作inline hook扫描工具
M-先生
03-28 3062
很久没来论坛了,今天来跟大家一起讨论一下关于检测内核中inline hook IAT hook方面的知识 我们平时常用的工具中xuetr和kd都提供了这个功能,比较方便地可以让我们看出来是谁在我们的电脑中做了什么手脚 不过现在有很多软件或者游戏不希望我们看到它们做的种种坏事,纷纷封杀掉这些工具, 更有甚者检测到这类工具启动立马给我来个蓝脸或者重启 这也太霸道了,这到底成了谁的电脑了? 于
Inline HOOK
最新发布
Tandy12356_的博客
05-28 4535
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
Android Hook框架adbi的分析(2)--- inline Hook的实现
Fly20141201. 的专栏
07-09 5658
一、 Android Hook框架adbi源码中inline Hook实现部分的代码结构 Android Hook框架adbi源码中inline Hook部分的实现代码结构示意图如下所示,hijack代码部分是前面的博客中提到的root下Android跨进程注入so的注入工具,instruments\base代码部分为inline Hook的操作实现,instruments\example代码部
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2264
前言 我们知道常见的注入方式有IAT hook、SSDT hookInline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
A盾学习笔记(2)反inlinehook
kernweak的博客
07-06 488
下面学习下反inlinehook 在工程的AntilineHook.c里 总体思路就是找到jmp指令,判断是不是被inlinehook的跳转,然后自己重载了内核之后,把原来被感染inlinehook跳过去执行的函数的地址位置,再hook成我们重载正常的的函数地址,实现反inlinehook,我还以为要把污染的hook拷贝成正常code。 VOID AntiInlineHook(WCHAR ...
深入解析Android inline hook:代码实战与流程分析
"本文主要分析了Android中inline hook的实现,包括目标注入程序的创建、主程序的构建、注入函数的编写以及thumb指令集的运用。文中详细描述了inline hook的基本流程,即替换目标指令为跳转指令,跳转到自定义的汇编...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值