IAT随便HOOK+反检测方法

最新推荐文章于 2022-01-25 15:49:00 发布
最新推荐文章于 2022-01-25 15:49:00 发布
阅读量3.9k 收藏 5
点赞数 2
防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。
用法:
Code: 
    HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);
    HookImage("NtTerminateProcess",(DWORD)MyNtTerminateProcess);
    HookImage("NtTerminateThread",(DWORD)MyNtTerminateThread);
    HookImport("KERNEL32.DLL","ExitProcess",(DWORD)MyNtTerminateProcess);
    RemoveImage("NtTerminateProcess");
代码
Code: 
/********************************************
挂钩目标程序kernel32.dll里面输入的ntdll.dll的函数
********************************************/
DWORD HookImage(char *szName,DWORD Newfunc)
{
  HMODULE hMod=LoadLibrary("NTDLL");
  DWORD RealAddr=(DWORD)GetProcAddress(hMod,szName);
  UINT Size=0;
  hMod=LoadLibrary("kernel32.dll");
    PIMAGE_IMPORT_DESCRIPTOR pImport=(PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData
                                                 (hMod,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&Size);                                             
    if(pImport==NULL)
    {
        return FALSE;
    } 
    IMAGE_THUNK_DATA32 *Pthunk=(IMAGE_THUNK_DATA32*)((DWORD)hMod+pImport->FirstThunk);
    MEMORY_BASIC_INFORMATION mbi;
    VirtualQuery(Pthunk,&mbi,sizeof(MEMORY_BASIC_INFORMATION));
    VirtualProtect(mbi.BaseAddress,mbi.RegionSize,PAGE_READWRITE,&mbi.Protect);
  while(Pthunk->u1.Function)
  {
    if(RealAddr==Pthunk->u1.Function)
    {
      Pthunk->u1.Function=Newfunc;
      break;
    }
    Pthunk++;
  }
    DWORD protect;
    VirtualProtect(mbi.BaseAddress,mbi.RegionSize,mbi.Protect,&protect);
  return TRUE;
}
/********************************************
挂钩目标程序输入表里面的函数
********************************************/
DWORD HookImport(char *szDLL,char *szName,DWORD Newfunc)
{
  
  DWORD protect;
  UINT Size=0;
  HMODULE hMod=GetModuleHandle(NULL);
    MEMORY_BASIC_INFORMATION mbi;
    

    PIMAGE_IMPORT_DESCRIPTOR pImport=(PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData
                                                         (hMod,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&Size); 
改写内存保护,以便转换大小写 
  VirtualQuery(pImport,&mbi,sizeof(MEMORY_BASIC_INFORMATION));
  VirtualProtect(mbi.BaseAddress,mbi.RegionSize,PAGE_READWRITE,&mbi.Protect);
    while(pImport->Name)
    {
    
        char *pszModName=(char*)((PBYTE)hMod+pImport->Name);
        if(_stricmp(pszModName,szDLL)==0)
        {
            break;
        }
        pImport++;
    }
  VirtualProtect(mbi.BaseAddress,mbi.RegionSize,mbi.Protect,&protect);
改写内存保护结束,改回原来的保护
    DWORD RealAddr=(DWORD)GetProcAddress(LoadLibrary(szDLL),szName);                            
    if(pImport==NULL)
    {
        return FALSE;
    } 
    IMAGE_THUNK_DATA32 *Pthunk=(IMAGE_THUNK_DATA32*)((DWORD)hMod+pImport->FirstThunk);
改写内存保护,以便写入函数地址
    VirtualQuery(Pthunk,&mbi,sizeof(MEMORY_BASIC_INFORMATION));
    VirtualProtect(mbi.BaseAddress,mbi.RegionSize,PAGE_READWRITE,&mbi.Protect);
  while(Pthunk->u1.Function)
  {
    if(RealAddr==Pthunk->u1.Function)
    {
      Pthunk->u1.Function=Newfunc;
      break;
    }
    Pthunk++;
  }
    VirtualProtect(mbi.BaseAddress,mbi.RegionSize,mbi.Protect,&protect);
改写内存保护,改回原来的保护
  return TRUE;
}
/********************************************
清除目标程序的ntdll的函数名字
********************************************/
BOOL RemoveImage(char *szName)
{
  HMODULE hMod=LoadLibrary("kernel32.dll");
  UINT Size=0;
    PIMAGE_IMPORT_DESCRIPTOR pImport=(PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData
                                                 (hMod,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&Size);
  DWORD *pName=(DWORD*)((DWORD)hMod+pImport->OriginalFirstThunk);
  while(pName)
  {
    char *pAddr=(char*)(*pName+(DWORD)hMod+2);
    if(!(strcmp(pAddr,szName)))
    {
        DWORD Protect;
      VirtualProtect(pAddr,strlen(pAddr),PAGE_READWRITE,&Protect);
      memset(pAddr,0,strlen(pAddr));
      VirtualProtect(pAddr,strlen(pAddr),Protect,pName);
      break;
    }
    pName++;
  }
  return TRUE;
}

kingswb
关注
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
IAT HOOK检测
weixin_34406061的博客
12-13 472
IAT HOOK检测 IAT HOOK检测 在EXE加载前,IAT表中的结构和INT表中的结构内容一致,如果所示,OriginalFirstThunk指向INT中第一个IMAGE_THUNK_DATA,FirstThunk指向IAT中的第一个IMAGE_...
检测IAT HOOK思路
Cosmopolitan的博客
11-09 674
先遍历IAT各个导入dll 遍历每个dll中的每个函数,通过GetModuleHandleExA找到函数所在的dll基地址。 最后比较基地址是不是一样。 bHooked = ((DWORD)hCurrFuncModule - (DWORD)hOriginalDllBase == 0) ? 0 : 1; ...
IAT Hook
weixin_30907523的博客
06-04 138
目录 IAT hook 一丶IAT 1.什么是 IAT表. 2.怎么进行HOOK IAT hook 一丶IAT 1.什么是 IAT表. 熟悉PE结构的应该知道.IAT 是导入表. 其IAT表如下: typedef struct _I...
检测IAT HOOK----进程内存中的IAT
草原Song
06-01 1263
检测IAT HOOK----进程内存中的IAT        昨天写的是磁盘的IAT.现在是内存的IAT.接着进行比较就可以得到IAT HOOK了用OpenProcess和ReadProcessMemory读取你想读的进程..然后按照PE文件格式来解释读到的数据,lpBase就是读
IAT+HOOK+纯手工出品+适合新手学习.zip
03-08
3.那么如果我们自己做一个假函数(参数数量,参数类型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候, 就会跳转到我们的函数里面,...
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
"iat hook"是挂钩IAT的过程,"iat"指的是导入地址表,"hook_iat"可能是一个具体的函数或方法名,而"vb中_iat的例子"则说明示例是在VB环境下编写的。 压缩包中的文件如下: 1. **passwd.c**:可能是一个C语言源代码...
基于 IAT hook 的文件隐藏功能 完整代码+报告
最新发布
01-12
通过 IAT Hook方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题中的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
IAT_Hook.rar_hook
09-24
- **安全检测**:恶意软件常利用IAT Hook来隐藏其行为,比如替换系统API以绕过病毒软件。 - **插件开发**:某些插件系统允许Hook系统API,以扩展或改变原有功能。 **5. 风险与注意事项** 尽管IAT Hook非常强大...
IAT_Hooking_API:API参数的DLL挂钩(模数)的导入,以及IAT挂钩,导入地址表的挂钩
02-13
IAT_Hooking_API:API参数的DLL挂钩(模数)的导入,以及IAT挂钩,导入地址表的挂钩
IAT HOOK
weixin_44711063的博客
03-11 652
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
IAT HOOK
azraelxuemo的博客
01-25 473
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改了IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
IAT hook D3D透视源码 过检测的写法
分享各种编程技术
05-25 3042
文章转载来源:http://www.moguizuofang.com/bbs/thread-31432-1-1.html 原创公布了 hook方法,但没使用方法, 主流射击游戏通用,此代码仅供学习研究,游戏公司尽早修复漏洞 #include "stdafx.h" #include <d3d9.h> #include <d3dx9.h> #pragma comment(li...
IATHook&amp原理与实现(4)
m0_64973256的博客
12-28 301
​作者| 榴莲 编辑| 楌橪 IAT(Import Address Table) HOOK与我们以往学习过的HOOK有着较大的区别。无论是InlineHook还是HotFixHook,都是基于指令的修改,劫持流程来实现HOOK的。而IATHOOK则是采取另一种劫持思路。这里就不得不提到一个Windows系统的文件格式,PE(Portable Executable)文件格式。 在我们编写一个Windows程序的时候,通常需要调用许多系统或第三方的函数。而需要调用这些函数,就必须要加载导出...
C++实现IATHOOK类封装及静态成员应用
IATHOOK技术常用于动态调试、性能分析、恶意软件检测和系统监控等场景。通过拦截系统关键API,开发者可以控制程序的行为,如记录调用日志、注入自定义代码、改变函数执行结果等。 6. **错误处理**: 示例代码中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值