自写API绕过R3下所有HOOK

最新推荐文章于 2022-02-18 14:36:37 发布
最新推荐文章于 2022-02-18 14:36:37 发布
阅读量900 收藏 1
点赞数
拿FindWindow来做测试,先OD跟一下
HWND hWnd=::FindWindow(_T("SciCalc"),_T("计算器")); ::SendMessage(hWnd,WM_CLOSE,NULL,NULL);

为了方便分析参数,给FindWindow也传递了类名。
OD载入,bp FindWindowW,运行后断下来,来到FindWindowW里面
77D2C9C5 55 PUSH EBP 77D2C9C6 8BEC MOV EBP,ESP 77D2C9C8 33C0 XOR EAX,EAX 77D2C9CA 50 PUSH EAX 77D2C9CB FF75 0C PUSH DWORD PTR SS:[EBP+C] 77D2C9CE FF75 08 PUSH DWORD PTR SS:[EBP+8] 77D2C9D1 50 PUSH EAX 77D2C9D2 50 PUSH EAX 77D2C9D3 E8 8AFFFFFF CALL USER32.77D2C962 77D2C9D8 5D POP EBP 77D2C9D9 C2 0800 RETN 8
FindWindowW里面其实又调用了USER32!InternalFindWindowExW,这个函数接收5个参数,第三个是类名,第四个是标题,其他参数不用管,跟进去看下
77D2C964 55 PUSH EBP 77D2C965 8BEC MOV EBP,ESP 77D2C967 83EC 20 SUB ESP,20 77D2C96A 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10] 77D2C96D 56 PUSH ESI 77D2C96E 8B35 D814D177 MOV ESI,DWORD PTR DS:[<&ntdll.RtlInitUni>; ntdll.RtlInitUnicodeString 77D2C974 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 77D2C977 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 77D2C97A 57 PUSH EDI 77D2C97B 33FF XOR EDI,EDI 77D2C97D A9 0000FFFF TEST EAX,FFFF0000 77D2C982 897D EC MOV DWORD PTR SS:[EBP-14],EDI 77D2C985 897D FC MOV DWORD PTR SS:[EBP-4],EDI 77D2C988 0F84 F0540000 JE USER32.77D31E7E 77D2C98E 50 PUSH EAX 77D2C98F 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10] 77D2C992 50 PUSH EAX 77D2C993 FFD6 CALL ESI 77D2C995 FF75 14 PUSH DWORD PTR SS:[EBP+14] 77D2C998 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20] 77D2C99B 50 PUSH EAX 77D2C99C 897D EC MOV DWORD PTR SS:[EBP-14],EDI 77D2C99F 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX 77D2C9A2 FFD6 CALL ESI 77D2C9A4 FF75 18 PUSH DWORD PTR SS:[EBP+18] 77D2C9A7 FF75 E8 PUSH DWORD PTR SS:[EBP-18] 77D2C9AA FF75 F8 PUSH DWORD PTR SS:[EBP-8] 77D2C9AD FF75 0C PUSH DWORD PTR SS:[EBP+C] 77D2C9B0 FF75 08 PUSH DWORD PTR SS:[EBP+8] 77D2C9B3 E8 F4FDFFFF CALL USER32.77D2C7AC 77D2C9B8 5F POP EDI 77D2C9B9 5E POP ESI 77D2C9BA C9 LEAVE 77D2C9BB C2 1400 RETN 14这里面调用的是USER32!NtUserFindWindowEx,这个函数也是接收5个参数,第三个是类名,第四个是标题,其他参数同样不用管,不过这里为什么实际数据跟堆栈中不同呢,例如第三个参数PUSH DWORD PTR SS:[EBP-8],堆栈中类名的位置明明是EBP-C的啊。。。汇编菜鸟请指教
继续跟进去,就看到熟悉的系统调用了
77D2C7AC B8 7A110000 MOV EAX,117A 77D2C7B1 BA 0003FE7F MOV EDX,7FFE0300 77D2C7B6 FF12 CALL DWORD PTR DS:[EDX] 77D2C7B8 C2 1400 RETN 14
7C92E510 > 8BD4 MOV EDX,ESP 7C92E512 0F34 SYSENTER 7C92E514 > C3 RETN
我们其实要做的就是模拟NtUserFindWindowEx这个函数,直接上代码
#pragma pack(1) typedef struct _UNICODE_STRING{ USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING,*PUNICODE_STRING; #pragma pack() typedef VOID (__stdcall *PRtlInitUnicodeString)(IN OUT PUNICODE_STRING DestinationString, IN PCWSTR SourceString); PRtlInitUnicodeString RtlInitUnicodeString=(PRtlInitUnicodeString)GetProcAddress(GetModuleHandle(_T("ntdll.dll")),"RtlInitUnicodeString"); __declspec(naked) VOID __stdcall kiFastSystemCall()//模拟kiFastSystemCall { __asm { mov edx,esp; _EMIT 0x0F _EMIT 0x34 } } __declspec(naked) HWND __stdcall MyFindWindow(int a, int b, PUNICODE_STRING puClassName, PUNICODE_STRING puCaption, int d ) { __asm { mov eax,0x117A; call kiFastSystemCall; retn 0x14; } }调用
UNICODE_STRING pu_className,pu_Caption; RtlInitUnicodeString(&pu_className,_T("SciCalc")); RtlInitUnicodeString(&pu_Caption,_T("计算器")); HWND hWnd=MyFindWindow(NULL,NULL,&pu_className,&pu_Caption,NULL); ::SendMessage(hWnd,WM_CLOSE,NULL,NULL);
注意需要导出下RtlInitUnicodeString用它来初始化字符串传参
另外跟这个函数时,这个函数内部调用的函数名是看不到的,可以拿到已经加载好符号的WINDBG中去查看
同样bp user32!FindWindowW跟几步就看到了


iteye_10992
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VB6实现Ring3下直接调用Ring0层函数,反一切R3API Hook
a1875566250的专栏
05-20 6706
接论坛帖子:http://topic.csdn.net/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html 例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。 添加Module1 Private asm_CallCode() As Byte, KiFastSystemCall&, KiIntSyst
自写Apir3Api函数hook
被遗弃的庸才博客
08-13 917
这里验证的环境是win7 64位和win10 64位 首先是64位程序,这里由于win7和win10的调用号不同,需要根据所使用的系统修改相应的调用号,顺带说明一下win64的vs程序是不支持内联汇编,这里是我自己下载的intel的parallel studio使得vs支持了内联汇编。 #include<windows.h> /*------------------------...
对付API-splicing的一种简单方法
04-25 958
 对于拦截API函数通常使用一种叫splicing的方法。此法的本质就是用JMP指令替换函数起始处的5个字节,将控制权传递给拦截程序。这种技术广泛应用于个人防火墙中,以防木马程序将自己的代码注入到其它可访问网络进程的地址空间中。然而,木马程序作者们可以采用不同的技术来穿透防火墙。比如说很流行的防火墙Agnitum Outpost的第三版就可以轻松绕过(详见MS-REM的文章《使用inject绕过
C# 优雅的实现ApiHook
记事本
09-21 2620
全部源码下载:https://download.csdn.net/download/vblegend_2013/10680642  通过继承NtAPIHook&lt;泛型委托&gt; 定义API ,并提供绕过Hook的源函数Origin委托 此模块支持 32位和64位   Hook处理类 using System; using System.Runtime.InteropService...
绕过所有用户层HOOK
crkres9527
10-08 1006
A、分析API函数原理    B、自写API函数    C、SYSENTER指令    D、硬编码_emit    E、模拟FindWindow函数    PUNICODE_STRING MOV EAX,117A 7C92E510 &gt;  8BD4            MOV EDX,ESP 7C92E512    0F34            SYSENTER   ...
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
在本压缩包中,包含的文件主要是C++源代码及相关项目配置文件,用于实现一个APIHook钩子文件监控系统,该系统能够监控指定目录下的文件读写和修改操作。 1. **APIHook原理**: APIHook是通过拦截系统API调用来改变...
易语言 拦截文件读写 APIhook
05-06
易语言 拦截文件读写 APIhook 拦截打开文件 拦截文件读入 拦截取文件长度 拦截文件读写位置
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
HOOKAPI(二)——HOOK自己程序的MessageBox
02-26
以下将给出一个简单的例子,作为HOOKAPI的入门。这里是HOOK自己程序的MessageBox,即将自己程序对MessageBoxAPI的调用重定向到自己实现的API中,在自己定义的API中实现内容的替换。需要注意的是,本例子的HOOK仅仅对...
HOOKAPI(三)——HOOK所有程序的MessageBox
02-26
本实例要实现HOOKMessageBox,包括MessageBoxA和MessageBoxW,其实现细节与HOOKAPI(二)中介绍的基本类似,唯一不同的是,本实例要实现对所有程序的HOOKMessageBox,即无论系统中哪一个程序调用MessageBox都会被...
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
易语言-利用硬断+VEH实现APIHOOK
06-25
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦 只在XP WIN7 X32 下测试通过
易语言枚举系统所有ApiHook
08-21
易语言枚举系统所有ApiHook源码系统结构:枚举程序内所有ApiHook,枚举ApiHook,计算偏差,取模块完整路径,进程ID取模块,取进程ID,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,RtlMoveMemory_I
apihook.rar_APIHOOK_api hook_hook api
09-14
标题"apihook.rar_APIHOOK_api hook_hook api"提及的可能是一个包含API Hook相关示例或库的压缩包文件。"www.pudn.com.txt"可能是一个文档,提供了关于API Hook的更多背景信息或使用指南。而"apihook"可能是源代码...
APIHook.rar_APIHOOK_hook
最新发布
09-20
这个过程被称为API Hook,而"APIHook.rar_APIHOOK_hook"可能是一个关于如何实现API Hook的示例或工具包。 API Hook的基本原理是拦截函数调用,通常在函数调用前或调用后执行自定义操作。这可以通过几种不同的方法...
自己实现读写内存API和OpenProcess躲过Ring3层的HOOK(win10 1903)
吾无法无天的博客
03-01 3042
想躲过ring3层的某些APIHOOK,不想恢复钩子,自己写,百度一搜半天都找不到,只能自己动手了... OpenProcess和ReadProcessMemory和WriteProcessMemory都在KernelBase.dll里 NtOpenProcess和NtReadVirtualMemory和NtWriteProcessMemory在ntdll.dll里 用IDA进行逆向即可得...
C# Hook原理及EasyHook简易教程
weixin_30701521的博客
03-11 1162
前言   在说C# Hook之前,我们先来说说什么是Hook技术。相信大家都接触过外挂,不管是修改游戏客户端的也好,盗取密码的也罢,它们都是如何实现的呢?   实际上,Windows平台是基于事件驱动机制的,整个系统都是通过消息的传递来实现的。当进程有响应时(包括响应鼠标和键盘事件),则Windows会向应用程序发送一个消息给应用程序的消息队列,应用程序进而从消息队列中取出消息并发送给相应窗口...
如何防止API接口被恶意调用
靖节先生的博客
02-18 6547
如何防止API接口被恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5346
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
HOOKAPI入门:如何HOOK自己程序的MessageBox
"这篇教程主要介绍了如何使用HOOKAPI技术来替换自己程序中的MessageBoxAPI,以便在调用时重定向到自定义的API,实现内容的替换。这种方法只对自己程序生效,不会影响其他进程。" 在Windows编程中,HOOKAPI是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值