某同学的inline hook检测程序简单逆向分析

最新推荐文章于 2023-05-28 11:16:45 发布
最新推荐文章于 2023-05-28 11:16:45 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: hook 汇编 exe 引擎 虚拟机 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3086722
版权
本文简要介绍了对一个inline hook检测程序的逆向分析过程。该程序在虚拟机环境下运行成功,但在主机上导致系统崩溃。程序通过发送IOCTL请求分配内存,并使用复杂的反汇编引擎进行inline hook检测,遇到异常时会调用打印函数显示错误信息。
摘要由CSDN通过智能技术生成
 

测试了下,主机上完全不行,虚拟机上运行成功过一次,然后运行了其他的ARK就BSOD的了。没有具体的分析dump文件;检测inline hook的结果不是很完善,且有一部分的错误. 简单说说我对程序的静态分析吧:

1. EXE运行后,得到NtQuerySystemInformation函数地址,传递SystemModuleInformation号获取系统模块信息,取得系统的基址和大小,并显示出来 - MoudleName,BaseAddress,ImageSize
2. 把ntoskrnl用LoadLibrary加载到内存中,方便后面的和内存对比分析
3. 调用GetProcAddress得到KeServiceDescr
最低0.47元/天 解锁文章
iiprogram
关注
专栏目录
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
安卓逆向环境检测--hook
最新发布
weixin_44348983的博客
06-26 2507
安卓、逆向、检测
InlineHook3(单步异常挂钩,监测调试器行为)
寻梦&之璐
05-11 275
#include <iostream> #include<Windows.h> char* p; int i; void JmpTarget(); void __declspec(naked) IdtEntry() { p = (char*)0x8003f120; for (int i = 0; i < 64; i++) { *p = ((char*)JmpTarget)[i]; p++; } __asm {
A盾学习笔记(2)反inlinehook
kernweak的博客
07-06 480
下面学习下反inlinehook 在工程的AntilineHook.c里 总体思路就是找到jmp指令,判断是不是被inlinehook的跳转,然后自己重载了内核之后,把原来被感染inlinehook跳过去执行的函数的地址位置,再hook成我们重载正常的的函数地址,实现反inlinehook,我还以为要把污染的hook拷贝成正常code。 VOID AntiInlineHook(WCHAR ...
Inline HOOK
Tandy12356_的博客
05-28 4376
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
如何区分ssdt hookinline hook钩子
01-25
4. **隐蔽性**:Inline Hook通常比SSDT Hook更难被检测,因为不涉及系统表的改动。 5. **复杂性**:SSDT Hook相对简单,只需要替换SSDT表中的指针;而Inline Hook需要理解目标函数的机器码,实现起来较为复杂。 在...
Windows Inline Hook代码实现细节
04-18
在Windows编程领域,Inline Hook是一种常见的技术,常用于系统监控、调试和安全分析。它允许开发者在不修改原代码的情况下,动态地改变程序的行为。本文将深入探讨如何使用内嵌汇编和Windows API来实现一个简单的`...
inlineHook工具类
08-12
在Android开发或者逆向工程领域,`inlineHook`是一种常见的代码注入技术,它允许开发者在不修改原始代码的情况下,对特定函数进行动态替换,以实现功能增强、性能优化或者调试目的。`inlineHook`通常与Xposed框架、...
iOS静态inline hook
10-02
- **安全研究**:逆向工程,分析应用行为,检测漏洞。 ### 5. 注意事项与挑战 - **兼容性**:不同架构(如ARM64、i386)的汇编代码可能不同,需要处理跨平台问题。 - **安全性**:不当的HOOK可能导致程序崩溃或不...
用开源反汇编引擎检测inline hook
12-10
用开源反汇编引擎检测inline hook
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
简单INLINE HOOK检测
cackeme的专栏
09-24 4135
/*  @desc:目前只检测简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
内核所有模块导出函数inlinehook检测
cqyczj的专栏
04-26 1020
主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inlinehook。所以各种狡诈的inlinehook伎俩(mov eax ,xxxx add eax,xxxx,call eax)是逃不过检测的,除非它修改原始磁盘文件。不过可惜,在比较之前是可以进行md5验证的。若原始磁盘文件被修改,显然是昭然若揭了
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2217
前言 我们知道常见的注入方式有IAT hook、SSDT hookInline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
简单linux 下 x64任意地址的inlinehook
liutianheng654的博客
03-25 1344
相对主流工具frida,更加快速的inlinehook,代码简单,可以针对性进行修改
[翻译]理解/检测 Inline Hooks/ WinAPI Hooks (Ring3)
云守护的专栏
12-14 611
转自:https://bbs.pediy.com/thread-223317.htm 你有没有想过,恶意软件是如何从web浏览器中获取口令密码凭证的呢?最流行的攻击方法是Man-in-The-Browser (MiTB),这也是大家所说的内联挂钩(inline hooking或者detours)。内联钩子技术在恶意软件中非常常见而且难以置信的好用。有了内联钩子技术后,恶意软件就成为了进程
检测API函数的InlineHook
weixin_30500663的博客
07-28 196
检测API函数的InlineHook 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName) 2 { 3 HMODULE hModule = GetModuleHan...
kernel inline hook 绕过vice检测
03-21 2547
创建时间:2005-11-05文章属性:原创文章提交:jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到
深入解析Android inline hook:代码实战与流程分析
"本文主要分析了Android中inline hook的实现,包括目标注入程序的创建、主程序的构建、注入函数的编写以及thumb指令集的运用。文中详细描述了inline hook的基本流程,即替换目标指令为跳转指令,跳转到自定义的汇编...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值