RING3代码HOOK的原理实现

最新推荐文章于 2021-08-27 20:30:06 发布
最新推荐文章于 2021-08-27 20:30:06 发布
阅读量334 收藏
点赞数
最初看见俄国一份DELPHI代码这样实现,他的优点在于 1, 在代理函数的内部不用先UNHOOK,再调用,再重新HOOK,否则多线程下会出问题  2, 没有硬编码,结构性比较好。 
#include <iostream>
#include <stdio.h>
#include <windows.h>
using namespace std;
#define bt 5

unsigned int* Oldpro;
typedef int (_stdcall * MYMESSAGE)(IN HWND hWnd,
				   IN LPCSTR lpText,
				   IN LPCSTR lpCaption,
				   IN UINT uType);

int _stdcall Mymessage(HWND hWnd,
					   LPCSTR lpText,
					   LPCSTR lpCaption,
					   UINT uType)
{
	if(strcmp(lpText,"ooooo")==0)
	{
		cout<<"xxxx"<<endl;
		return 1;
	}
	return int(((MYMESSAGE)Oldpro)(hWnd,lpText,lpCaption,uType));
}

bool ApiHook(LPVOID TargetPro,LPVOID NewPro,LPVOID* Oldpro)
{
	DWORD dwOldpro;
	BOOL nVirtual;
	nVirtual=VirtualProtect(TargetPro,5,PAGE_EXECUTE_READWRITE,&dwOldpro);
	if(nVirtual==0)
	{
		cout<<"virtualprotect error"<<endl;
		return false;
	}
	*Oldpro=new unsigned char[bt+5];
	memcpy(*Oldpro,TargetPro,bt);
	*((unsigned char*)(*Oldpro)+5)=0xe9;
	*((unsigned int*)(*Oldpro)+bt+1)=(unsigned int)(TargetPro)-(unsigned int)(*Oldpro)-5;
	*(unsigned char*)TargetPro=0xe9;
	*(unsigned int*)((unsigned int)TargetPro+1)=(unsigned int)(NewPro)-(unsigned int)(TargetPro)-5;
	if(VirtualProtect(TargetPro,bt,dwOldpro,0))
	{
		cout<<"virtualprotect error"<<endl;
		return false;
	}
	return true;
}

bool UnApiHook(LPVOID TargetPro,LPVOID Oldpro)
{
	DWORD dwOldpro;
	if(VirtualProtect(TargetPro,bt,PAGE_EXECUTE_READWRITE,&dwOldpro))
	{
		memcpy(TargetPro,Oldpro,bt);
		if(VirtualProtect(TargetPro,bt,dwOldpro,0))
		{
			return true;
		}
	}
	return false;
}


void main()
{
	MessageBox(NULL,"xxxxx","before hook",MB_OK);
	if(ApiHook(MessageBox,(void*)Mymessage,(LPVOID*)&Oldpro))
	{
		cout<<"sucess"<<endl;
	}
	MessageBox(NULL,"ooooo","after hook",MB_OK);
	UnApiHook(MessageBox,Oldpro);
}

junjie1595
关注
Ring3Hook API实现分析
panda1987的专栏
01-18 7721
    本文主要针对用户级别下HOOK API的方法进行一下总结。对应的,自然也有ring0下的HOOK API方法,但是这个需要一些驱动方面的基础,暂时不在本文讨论范围内。另外ring3下的HOOK API方法也有很多种,我只列举我所能想到的。    所谓HOOK API,与Windows 下的HOOK其实是完全两个概念,风马牛不相及。当然在之后的讨论中你也会看到有关于windows hook的讨论,但是这是另外一个话题了。    那么到底什么是HOOK API呢?我们可以暂且简单的认为HOOK API就
Ring3hook
kernweak的博客
06-02 739
hook engine: nthookengine mhook Detour 方法: 本进程hook,直接调用hook函数(自己进程还要hook?),否则写一个dll,在dll里hook每一个函数,然后将该dll注入到目标进程,达到hook目标进程中的函数的目的。 MHOOK 要获取原始函数地址 #include mhook.h typedef ULONG (WINAPI* _N...
ring3 hook ZwWriteVirtualMemory
weixin_30820151的博客
01-04 435
typedef LONG NTSTATUS;typedef NTSTATUS (NTAPI *PNtZwWriteVirtualMemory) ( IN HANDLE hProcess, IN PVOID BaseAddress, IN PVOID Buffer, IN ULONG BytesToWrite, OUT PULONG BytesWritten ); PNtZwWriteVir...
windows ring3 注入及hook
Tesi1a的充电桩
05-08 483
需求背景 动态修改程序的函数oldsub()执行我们的newsub() 此时则需要注入并hook 注入 简单的远程线程注入分三步 //获取进程句柄 //提升权限 //注入dll #include <windows.h> //获取进程句柄 HANDLE GetThePidOfTargetProcess(HWND hwnd) { DWORD pid; GetWindowT...
Inline Hook(ring3) 简单源码
zqf_office的专栏
10-21 844
很久之前写的,练手之用。 #include #include #include #pragma comment(lib, "psapi.lib") //BYTE      Org_Code[7];    // 备份dll法, 因此就可以不需要 BYTE        New_Code[7]; HMODULE
Inline Hook(ring3)的简单C++实现方法
09-04
Ring3级别,这意味着Inline Hook在用户模式下进行,这在Windows系统中是常见的实践。本文将详细探讨如何使用C++来实现一个简单的Inline Hook。 首先,我们需要理解Inline Hook的基本原理。Inline Hook通常涉及到...
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
Hook是一种编程技术,通过在特定函数或系统调用前放置代码,使得每次该函数或调用被执行时,都会先执行这段插入的代码,从而达到监控或改变其行为的目的。 在Rootkit中,Hook通常被用来替换或扩展系统API,例如网络...
Hook ShadowSSDT Ring3
11-28
通常,恶意软件会尝试在Ring3hook系统服务,以便在调用特定系统服务时执行自定义代码,达到监控、控制或干扰系统的目的。 **Hook技术** Hook是一种编程技术,通过在函数调用的前后插入自定义代码来拦截并可能...
ring0 ssdt rootkit hook隐藏服务进程 隐藏端口.zip
01-24
"驱动 ssdt Hook 系统服务隐藏端口、隐藏进程的源代码"则可能提供了实际的驱动级代码,用于实现SSDT Hook,隐藏进程和服务以及端口。这类源代码的学习可以帮助开发者了解Rootkit的工作方式,并有助于开发反恶意软件...
绕过ring3下inline hook
03-19
本文将详细讨论如何在Ring3环境下绕过inline hook,同时参考提供的Delphi源码进行分析。 首先,了解inline hook的工作原理。它通常是通过替换目标函数入口点的几条指令,将控制流导向hook函数,执行完hook代码后再...
API拦截—实现Ring3全局HOOK
迈克揉索芙特
01-02 4599
       魏滔序注:本转载内容仅用来技术研究,请勿于损人害己之用。       首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程,然后对每个Ring3进程执行一遍HOOK操作。但是,系统中总有新进程产生,对于这些新进程我们怎么处理
ring3 Inline Hook 恢复(附源码)
cqyczj的专栏
04-25 2694
链 接: http://bbs.pediy.com/showthread.php?t=145825 最近调试一网游,加了tmd壳,HOOK了三个API:DbgBreakPoint、DbgUiRemoteBreakin、DbgUserBreakPoint,平时调试前都用XT还原,突然想自己试试自己编码还原,于是简单写了个类,用于ring3 Inline Hook的还原。     先回顾一
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 2756
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
linux hook
cncnlg的专栏
05-21 4138
目录 1. 系统调用Hook简介 2. Ring3Hook技术 3. Ring0中Hook技术 4. 后记 1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3
Ring0和Ring3 HOOK 大检查
weixin_34205826的博客
08-02 404
2019独角兽企业重金招聘Python工程师标准>>> ...
Ring3/Ring0下注入方法
SR0ad的涅盘地
11-15 3623
Ring3下若干注入方法 一、CreateRemoteThread (NtCreateThreadEx) 1.通过OpenProcess获得目标进程Handle 2.通过VirtualAllocEx在目标进程里申请内存空间,用来写入代码 3.通过WriteProcessMemory,把要注入的DLL全路径写到刚才申请的内存上 4.通过CreateRemoteThread/Lo
Ring0和Ring3
weixin_43742894的博客
05-13 2843
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。 Windows只使用RING0和RING3,RING0只给操作系统用,RING3谁都能用。 如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。因为有CPU的特权级别作保护。 ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之…… 以Li...
c++注入思路inlink hookring3和ring 0
qq_35490522的博客
08-27 1707
注入DLL的思路步骤: 1. 在目标进程中申请一块内存空间(使用VirtualAllocEx函数) 存放DLL的路径,方便后续执行LoadLibraryA 2. 将DLL路线写入到目标进程(使用WriteProcessMemory函数) 3. 获取LoadLibraryA函数地址(使用GetProcAddress),将其做为线程的回调函数 4. 在目标进程 创建线程并执行(使用CreateRemoteThread) std::string temp = W2Astring(strDllPath); in
Windows下的Ring0级进程保护:SSDT HOOK技术实现
综上,该文详细介绍了一种通过SSDT Hook技术在Ring0级实现进程保护的方法,包括原理实现步骤、组件封装和测试验证,展示了如何构建一个有效的进程保护组件,对于系统安全和软件开发具有重要实践价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值