InlineHook

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量116 收藏 1
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly1390811049/article/details/105903015
版权

HooK MessageBoxA

#include <windows.h>
#include <iostream>

#define DN_PATCH_LENGTH 5

DWORD g_dwRetAddress;
DWORD g_dwHookAddress;

void MessageBoxProc(HWND hWnd, LPCSTR lpText,LPCSTR lpCaption,UINT uType)
{
	std::cout << hWnd << lpText << lpCaption << uType;
}

//裸函数编译器不会自动生成多余的代码,无法使用局部变量
void __declspec(naked) NewMessageBox()
{
	_asm
	{
		//保存寄存器
		pushad
		pushfd

		
		//调用处理函数 0x24是上面压入的    参数入栈从右往左
		push [esp + 0x24 + 0x10]
		push [esp + 0x24 + 0xc + 0x4]		//上面压入后这里要加上
		push [esp + 0x24 + 0x8 + 0x8]
		push [esp + 0x24 + 0x4 + 0xC]
		call MessageBoxProc
		add esp, 0x10

		//恢复寄存器
		popfd
		popad
		//执行覆盖的代码
		mov edi, edi
		push ebp
		mov ebp, esp
		//跳回去
		jmp g_dwRetAddress
	}
}

void HookMessageBox(bool bOpen)
{
	BYTE byJmpCode[DN_PATCH_LENGTH] = { 0xE9 };

	//备份原代码
	static BYTE byOriginalCode[DN_PATCH_LENGTH] = { 0 };

	//如果有多余的代码,置为nop
	memset(&byJmpCode[1], 0x90, DN_PATCH_LENGTH - 1);
	*(int*)&byJmpCode[1] = (int)NewMessageBox - (int)g_dwHookAddress - 5;
	//备份被覆盖的code
	memcpy(byOriginalCode, (PVOID)g_dwHookAddress, DN_PATCH_LENGTH);

	if (bOpen)
	{
		DWORD dwOldProtect = 0;
		VirtualProtect((PVOID)g_dwHookAddress, DN_PATCH_LENGTH, PAGE_EXECUTE_READWRITE, &dwOldProtect);
		memcpy((PVOID)g_dwHookAddress, byJmpCode, DN_PATCH_LENGTH);
		VirtualProtect((PVOID)g_dwHookAddress, DN_PATCH_LENGTH, dwOldProtect, NULL);
	}
	else
	{
		DWORD dwOldProtect = 0;
		VirtualProtect((PVOID)g_dwHookAddress, DN_PATCH_LENGTH, PAGE_EXECUTE_READWRITE, &dwOldProtect);
		memcpy((PVOID)g_dwHookAddress, byOriginalCode, DN_PATCH_LENGTH);
		VirtualProtect((PVOID)g_dwHookAddress, DN_PATCH_LENGTH, dwOldProtect, NULL);
	}
}


int main()
{
	HMODULE hUser32 = ::LoadLibraryA("user32.dll");
	g_dwHookAddress = (DWORD)::GetProcAddress(hUser32, "MessageBoxA");
	g_dwRetAddress = g_dwHookAddress + DN_PATCH_LENGTH;

	HookMessageBox(true);

	::MessageBoxA(0, "context", "title", 1);

}

 

1390811049
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
InlineHOOK
九月飞雪的博客
01-03 4483
//inline hook 实际上就是指 通过改变目标函数头部的代码来使改变后的代码跳转至我们自己设置的一个函数里,产生hook. #include &lt;windows.h&gt; #include &lt;stdio.h&gt; //定义一个与MessageBoxA类型一致的函数指针。 typedef int (WINAPI * MessageBox_type)(HWND hWnd, ...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
Inline Hook
weixin_44711063的博客
03-11 2685
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hookinline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
Inline HOOK
Tandy12356_的博客
05-28 4019
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
Hook攻防之InlineHook
最新发布
xf555er的博客
06-16 1612
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
linux kernel 5.0 inline hook框架
qq_42931917的博客
03-18 1051
linux kernel inline hook
inline hook
LongStorm的博客
11-06 542
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多...
Inline Hook 钩子编写技巧
CSDN
10-17 1万+
有时候我们需要自定义Hook对象,这时候我们就可以使用本方法,直接在最后写上我们需要Hook的地址即可。Inline Hook 钩子编写技巧
Inline Hook Syscall 详解
pwl999的博客
07-20 2520
文章目录1. hook一般syscall2. hook stub syscall2.1 stub_xxx 原理2.2 方法1:hook `stub_xxx`2.3 方法2:hook `call sys_xxx`参考文档: 1. hook一般syscall 在安全、性能分析等领域,经常会需要对系统调用syscall进行hook。有些模块在kernel代码中已经预先hook,例如syscall trace event。 通常syscall使用sys_call_table[]数组来间接调用: kernel\arc
inline hook的实现
威化饼的一隅
05-07 1063
思路   对于目标运行中的EXE程序,如notepad.exe,使用inline hook劫持其kernel32.dll中的writefile函数: 找到notepad.exe的进程PID,通过进程PID获取进程模块,通过进程模块获取程序加载的imagebase。 在获得imagebase后,就可以像类似分析PE文件一样,先找PE头,然后到可选头,里面读取data directory的第2个成员...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
C++实现inline hook的原理及应用实例
09-04
【C++ Inline Hook原理】 Inline Hook是Windows编程中一种高级技术,主要用于监控或修改系统调用的行为。在C++中实现inline hook,主要是通过在目标函数的内存空间中插入跳转指令,使得当函数被调用时,控制流会...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
X64Dbg使用教程
热门推荐
南宫封清的博客
04-08 3万+
读取内存数据 字节/字/双字/四字/指针(ptr) ReadByte,Byte,byte(addr):从 addr 读取一个字节,并返回该值。 ReadWord,Word,word(addr):从 addr 读取一个字(2字节),并返回该值。 ReadDword,Dword,dword(addr):从 addr 读取双字(4字节),并返回该值。 ReadQword,Qword,qword(add...
Detours库Windows API Hook
南宫封清的博客
02-24 6922
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
x64汇编
南宫封清的博客
09-15 6833
x64是AMD64与Intel64的合称,是指与现有x86兼容的64位CPU。在64位系统中,内存地址为64位。x64为环境下寄存器有较大的变化。 x64系统通用寄存器的名称,第1个字母从"E"改为"R"(例如"RAX"), 大小扩展到64位,数量增加了8个(R8~R15), 扩充了8个128位XMM寄存器(在64位程序中,XMM寄存器经常被用来优化代码)。64位寄存器与x86下的32位寄存器兼容,例如RAX(64位)、EAX(32位)、AX(低16位)、AL(低8位)、AH(8-15位)。 x64新扩展的
PE文件结构
南宫封清的博客
04-19 3728
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值