Inline Hook

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量1.8k 收藏
点赞数
文章标签: hook object access integer delay patch
Inline Hook

什么是Inline Hook?Inline Hook就是通过修改目标函数的内容,跳转到自定义函数,来实现对目标的Hook.

对于非首字节的跳转,必须在自定义函数里实现目标函数的跳转前的内容。

对于Inline Hook没有什么太多需要讲的地方,就象某人说的inline hook不是技术,只是技巧。

当目标函数导出的时候我们可以直接获取到他的地址(后面的例子即是如此)。如果没有导出,我们就需要想办法了。对于这个问题,我们有并不很理想方法:暴搜。(当目标被patch后就会产生一些问题)

暴搜的原理是:通过导出的函数通过特征码暴搜目标函数的地址。比如:函数A 调用了B。B是我们要获取的目标函数。我们可以从A的首地址线性搜索一定的长度(长度根据目标B在A位置来决定)来得到目标函数在A中调用的内存地址。然后通过下面的公式得到B函数的地址。

B函数的地址 = B在A中的地址+CALL地址+5

是不是晕了?没关系。Follow me!

PsGetNextProcessThread是一个没有被导出的函数。想得到这个函数我们可以从很多导出的函数里看到。这里我们选择nt!NtTerminateProcess。

利用我们上面的公式。目标函数的地址 8057EAEC = 80583396+FFFFB751+5 。

下面的问题是我们如何才能定位到这个地址。


我们可以从NtTerminateProcess是首地址开始扫描,根据下面的特征码来定位。

e851b7fffff 就可以找到我们的目标位置。然后利用上面的地址换算公式找到目标函数的内存地址。

下面的代码通过以导出函数进行Inline Hook.代码并非出自本人之手。对作者表示敬意。

extern "C"
{

#include "ntddk.h"
#include <windef.h>

extern POBJECT_TYPE *PsProcessType;

VOID InlineHookObReferenceObjectByHandle();
VOID UnHook();
T_ObReferenceObjectByHandle(
   IN HANDLE Handle,
   IN ACCESS_MASK DesiredAccess,
   IN POBJECT_TYPE ObjectType OPTIONAL,
   IN KPROCESSOR_MODE AccessMode,
   OUT PVOID *Object,
   OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL
   );
}

char* ProtectName = "notepad.exe";


int MyObReferenceObjectByHandle(
         IN HANDLE Handle,
         IN ACCESS_MASK DesiredAccess,
         IN POBJECT_TYPE ObjectType OPTIONAL,
         IN KPROCESSOR_MODE AccessMode,
         OUT PVOID *Object,
         OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL
         )
{

PEPROCESS Process;
KIRQL oldIrql;
int JmpOffSet;
unsigned char Code[5]={0x8b,0xff,0x55,0x8b,0xec};
unsigned char JmpCode[5] = { 0xe9, 0x00, 0x00, 0x00, 0x00 };


if(*PsProcessType==ObjectType)//判断句柄所属对象类型是不是*PsProcessType
{
  
   oldIrql = KeRaiseIrqlToDpcLevel();
   __asm
   {
    CLI             
     MOV   eax, CR0     
     AND eax, NOT 10000H 
     MOV   CR0, eax
   }
  
  
   RtlCopyMemory ( ObReferenceObjectByHandle, Code, 5 );
  
  
   ObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,(PVOID *)&Process,NULL);
   if (_stricmp((char*)((char*)Process+0x174), ProtectName) == 0 )
   {
    JmpOffSet= (char*)T_ObReferenceObjectByHandle - (char*)ObReferenceObjectByHandle - 5;
    RtlCopyMemory ( JmpCode+1, &JmpOffSet, 4 );
    RtlCopyMemory ( ObReferenceObjectByHandle, JmpCode, 5 );
   
   
    __asm
    {
     MOV   eax, CR0
      OR   eax, 10000H
      MOV   CR0, eax
      STI
    }
   
    KeLowerIrql(oldIrql);
    return 1;
   
   }
  
   JmpOffSet= (char*)T_ObReferenceObjectByHandle - (char*)ObReferenceObjectByHandle - 5;
   RtlCopyMemory ( JmpCode+1, &JmpOffSet, 4 );
   RtlCopyMemory ( ObReferenceObjectByHandle, JmpCode, 5 );
  
   __asm
   {
    MOV   eax, CR0
     OR   eax, 10000H
     MOV   CR0, eax
     STI
   }
  
   KeLowerIrql(oldIrql);
  
}

return 0;
}


__declspec(naked) T_ObReferenceObjectByHandle(
              IN HANDLE Handle,
              IN ACCESS_MASK DesiredAccess,
              IN POBJECT_TYPE ObjectType OPTIONAL,
              IN KPROCESSOR_MODE AccessMode,
              OUT PVOID *Object,
              OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL
              )
{

_asm
{
  
   mov     edi,edi
    push    ebp
    mov     ebp,esp
   
    push   [ebp+0x1c]
    push   [ebp+0x18]
    push   [ebp+0x14]
    push   [ebp+0x10]
    push   [ebp+0xc]
    push   [ebp+8]
   
    call   MyObReferenceObjectByHandle   
    cmp   eax,1   
    jz     end
   
    mov   eax,ObReferenceObjectByHandle     
    add   eax,5           
    jmp   eax   
end:
   mov   [ebp+8],-1
    mov   eax,ObReferenceObjectByHandle     
    add   eax,5           
    jmp   eax   
   
}

}

VOID InlineHookObReferenceObjectByHandle()

    

int JmpOffSet;
unsigned char JmpCode[5] = { 0xe9, 0x00, 0x00, 0x00, 0x00 };
KIRQL oldIrql;

    DbgPrint("T_PspTerminateProcess is:%x\n",T_ObReferenceObjectByHandle);
    //计算我的函数中继地址
    JmpOffSet= (char*)T_ObReferenceObjectByHandle - (char*)ObReferenceObjectByHandle - 5;
    DbgPrint("JmpOffSet is:%x\n",JmpOffSet);
    //INITLIZATION JMPCODE为中继函数的地址
    RtlCopyMemory ( JmpCode+1, &JmpOffSet, 4 );
    
    oldIrql = KeRaiseIrqlToDpcLevel();
    _asm
    {
     CLI     
      MOV EAX, CR0  
      AND EAX, NOT 10000H 
      MOV CR0, EAX  
    }
    
    RtlCopyMemory ( ObReferenceObjectByHandle, JmpCode, 5 );
    DbgPrint("ObReferenceObjectByHandle is hook now \n");
    
    _asm 
    {
     MOV EAX, CR0  
      OR EAX, 10000H  
      MOV CR0, EAX   
      STI     
    }
    KeLowerIrql(oldIrql);
    
}

VOID Unload(PDRIVER_OBJECT DriverObject)

    KIRQL oldIrql;
LARGE_INTEGER   Delay;
unsigned char Code[5]={0x8b,0xff,0x55,0x8b,0xec};

Delay.QuadPart = -5000000;
    KeDelayExecutionThread(KernelMode, TRUE, &Delay);
oldIrql = KeRaiseIrqlToDpcLevel();
__asm
{
   CLI             
    MOV   eax, CR0     
    AND eax, NOT 10000H 
    MOV   CR0, eax
}

RtlCopyMemory ( ObReferenceObjectByHandle, Code, 5 );
__asm{
   MOV   eax, CR0
    OR   eax, 10000H
    MOV   CR0, eax
    STI
}
KeLowerIrql(oldIrql);
}


NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING str)
{

DriverObject->DriverUnload = Unload;

    
    InlineHookObReferenceObjectByHandle();
return STATUS_SUCCESS;
}

最后要说ALT+F8真的太烂。

linuxheik
关注
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
And64InlineHook:适用于Android CC ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库
04-30
And64InlineHook是一个专为Android平台设计的轻量级库,主要针对C/C++开发者,用于实现ARMv8-A架构(ARM64或AArch64,Little-Endian字节序)的内联挂钩功能。这个库允许开发人员在运行时修改已编译的二进制代码的...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
InlineHOOK
10-10
功能实现inlinehook保护.原理上很简单的东西,但我想很多新手都苦于找不到完整的示例 代码,下面就是一份完整的代码 inline hook原理大概如下: 修改被HOOK函数A的头5个字节,使其跳转到我们自定义的函数B,函数B的类型与函数A要相同。因为我们是使用JMP直接跳转到函数B, 而不是使用正常的CALL指令。在函数B内,我们可以检查函数参数,然后可以直接返回。也可以再调用函数A的一个副本。这个副本在HOOK动作发生的同时,就保存下来了。
inline hook
07-30
Hook库,我写的,欢迎大家下载使用,方便好用。
Inline HOOK
Tandy12356_的博客
05-28 4593
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
InlineHook
m0_46135508的博客
11-10 461
计算偏移 = 自己创建的函数的地址 - 要Hook的函数地址 - 5,第一个字节为0xE9,构成无条件跳转指令。将前面构造的无条件跳转写入Hook函数地址处,大小为5字节,并保存之前的数据,以便修复。构建自己函数的时候一定要加上调用约定,否则新函数会默认使用C语言的调用约定,这回。加载函数所在的模块,获取要Hook的函数地址。导致在函数返回过程中,因堆栈不平衡而报错。根据要hook函数的原型创建自己的函数。修改目标页属性,是其可读可写可执行。
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
Hook攻防之InlineHook
最新发布
xf555er的博客
06-16 1954
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
Inline_Hook
kernweak的博客
09-03 493
Inline Hook jmp 到没用的地方 pushad,pushfd, 做自己的事 popfd,popad. 加上被覆盖的代码 jmp 到被覆盖代码的下一行 注意点 位置的选择: &amp;lt;1&amp;gt; JMP/CALL指令至少占用5个字节 &amp;lt;2&amp;gt; 绕开全局变量,因为全局变量的硬编码会随着指令变 &amp;lt;3&amp;gt; 根据业务来决定在哪里HOOK:过滤参数...
inline Hook简单介绍
cwg2552298的博客
09-24 6710
What is Inline Hook ? 就是一个函数钩子而已,把程序原本要调用的函数改成另一个函数,就是对原函数的一个挂钩(hook) 。   How did this work ? 让我们看看调用一个函数控制流的跳转图: fun_b 调用 fun_a   如果我们需要修改、截获对fun_a 函数调用的参数该怎么做呢? Definitely 对 fun_a 的调用进行Hoo...
inlinehook 看这一篇
01-09 4055
inlinehook 代码实战
inline hook
04-29
Inline hook是一种常见的hook技术,它是指在程序运行时通过修改程序代码的方式来实现hook的目的。具体来说,当程序执行到某个函数时,inline hook会将原来的函数代码替换成hook函数的代码,从而实现对原函数的拦截和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值