【免杀前置课——HOOK】二十四、消息HOOK,各种句柄的区别HMODULE,HANDLE等,IAT HOOK,Inline hook,硬编码是什么?调试dll窍门(附代码)

最新推荐文章于 2024-05-23 22:09:59 发布
最新推荐文章于 2024-05-23 22:09:59 发布
阅读量698 收藏 4
点赞数 1
分类专栏: 免杀前置课 文章标签: windows mfc c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62783065/article/details/128272012
版权

HOOK

什么是 HOOK:

Windows操作系统是事件驱动的。事件被包装了消息发送给窗口,比如点击菜单,按钮,移动窗口等等~
消息处理过程:例如:
1、当按下键盘时,会产生一个键盘按下的消息,这个消息首先被加入到系统消息队列2、操作系统从消息队列中取出消息,添加到相应的程序的消息队列中
3、程序自身通过GetMessage获取消息,DispatchMessage分发消息,通过消息回调函数处理消息。
HOOK就是从系统消息队列到应用程序消息队列之前对消息进行处理,处理之后在扔给下一个消息钩子(HOOK)或者扔到应用程序的消息队列中。

在操作系统中,操作系统会从系统消息队列中找到不同程序的消息队列分发消息,hook就是在传递这条线上截取相应的消息,对消息进行处理,处理后按顺序从上到下让hook或者程序消息队列处理。

在这里插入图片描述
在这里插入图片描述

消息hook

编写消息钩子需要将设置钩子的函数写到dll里面,当勾住一个线程后,产生消息时,假如系统发现包含钩子的dll不在本进程当中,系统会将dll强行加载进去,这一是一种dlI注入的手段。

C++中各种句柄的区别

  • HMODULE表示模块句柄
  • Handle 是代表 系统的内核对象,如 文件句柄,线程句柄,进程句柄。
  • HMODULE 是代表应用 程序载入的模块,win32系统下通常是被载入模块的 线性地址。
  • HINSTANCE 表示
    实例句柄。在win32下与HMODULE是相同的东西,在Win32下还存在主要是因为win16程序使用HINSTANCE来区别task。
  • HWND 是 窗口句柄

在头文件中HMODULE定义如下:
typedef HINSTANCE HMODULE;
再看看HINSTANCE定义,typedef HANDLE HINSTANCE;
再看看HANDLE定义,typedef PVOID HANDLE;
再看看PVOID定义,typedef void *PVOID;
其实这些都可以称为句柄,为了表述的方便,所以对于不同类型的句柄都用不同样式的typedef,比如说HINSTANCE表示 实例句柄,HMODULE是 模块句柄,实际上他们本质上都是VOID 指针,是可以指向任何类型的指针。

在虚拟机中运行需要改运行库,因为虚拟机可能有很多文件没有。

在这里插入图片描述
在这里插入图片描述

IAT HOOK

hookmain.cpp

#include"hookMain.h"

int WINAPI HookMessageBoxW(
	HWND    hWnd,
	LPCWSTR lpText,
	LPCWSTR lpCaption,
	UINT    uType
)
{
	int result = MessageBoxA(0, "51HOOK", "提示", MB_OK);
	return result;
}
//安装钩子
BOOL InstallHook()
{
	DWORD dwOldProtect = 0;//修改之前的属性
	VirtualProtect(g_iatAddr, 4, PAGE_EXECUTE_READWRITE, & dwOldProtect);
	*g_iatAddr = (DWORD)HookMessageBoxW;//因为我们HookMessageBoxW函数的文件属性不一定是可写的,所以我们要在上面改可写属性
	VirtualProtect(g_iatAddr, 4, dwOldProtect, &dwOldProtect);
	return TRUE;
}
//卸载钩子
BOOL UnInstallHook()
{
	DWORD dwOldProtect = 0;//修改之前的属性
	VirtualProtect(g_iatAddr, 4, PAGE_EXECUTE_READWRITE, &dwOldProtect);
	*g_iatAddr = (DWORD)g_unHookAddr;//因为我们HookMessageBoxW函数的文件属性不一定是可写的,所以我们要在上面改可写属性
	VirtualProtect(g_iatAddr, 4, dwOldProtect, &dwOldProtect);
	return TRUE;
}

DWORD* GetIatAddr(const char* dllName,const char* dllFunName) 
{
	//获取当前EXE文件模块句柄
	HMODULE hModule = GetModuleHandleA(0);
	DWORD dwhModule = (DWORD)hModule;
	//获取当前dos头
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)dwhModule;
	//获取当前NT头
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew + dwhModule);
	//获取可选PE头
	PIMAGE_OPTIONAL_HEADER pOptionalHeader = &pNtHeaders->OptionalHeader;
	//获取数据目录表
	IMAGE_DATA_DIRECTORY dataDirectory = pOptionalHeader->DataDirectory[1];
	//获取导入表
	PIMAGE_IMPORT_DESCRIPTOR pImageImageTable = (PIMAGE_IMPORT_DESCRIPTOR)(dataDirectory.VirtualAddress + dwhModule);
	//遍历导入表获取符合条件的函数
	while (pImageImageTable->Name)
	{
		char* iatDllName = (char*)(pImageImageTable->Name + dwhModule);
		if (_stricmp(iatDllName, dllName) == 0)//判断dllName是否和iatDllName相同 查网dll遍历与函数原型,这里dll遍历是不区分大小写 不用完全匹配 函数名是区分的 要完全匹配
		{
			//获取导入名称表
			PIMAGE_THUNK_DATA pINT = (PIMAGE_THUNK_DATA)(pImageImageTable->OriginalFirstThunk + dwhModule);
			//获取导入地址表
			PIMAGE_THUNK_DATA pIAT = (PIMAGE_THUNK_DATA)(pImageImageTable->FirstThunk + dwhModule);
			while (pINT->u1.Function)//遍历名称表
			{
				if ((pINT->u1.Ordinal & 0x80000000)==0)//确定INT是按名称导入的
				{
					PIMAGE_IMPORT_BY_NAME pImportName = (PIMAGE_IMPORT_BY_NAME)(pINT->u1.Function + dwhModule);
					if (strcmp(pImportName->Name, dllFunName) == 0)//按不区分大小写的方式比较名称 查网dll遍历与函数原型,这里dll遍历是不区分大小写 不用完全匹配 函数名是区分的 要完全匹配
					{
						return (DWORD*)pIAT;//获取到要替换函数的地址
					}
				}
				pINT++;
				pIAT++;
			}
		}
		pImageImageTable++;
	}
}

BOOL WINAPI DllMain(HINSTANCE hInstance, DWORD callReason, LPVOID lpReversed)
{
	if (callReason == DLL_PROCESS_ATTACH)
	{
		//获取IAT表
		g_iatAddr = GetIatAddr("user32.dll","MessageBoxW");
		//保护要HOOK的函数地址,最后卸载钩子要能够找到
		g_unHookAddr = (DWORD*)*g_iatAddr;
		//安装钩子
		InstallHook();
	}
	else if (callReason==DLL_PROCESS_DETACH)
	{
		UnInstallHook();
	}
	return TRUE;
}

hookmain.h

#pragma once
#include <Windows.h>
DWORD* g_iatAddr = NULL;
DWORD* g_unHookAddr = NULL;
int WINAPI HookMessageBoxW(
	HWND    hWnd,
	LPCWSTR lpText,
	LPCWSTR lpCaption,
	UINT    uType
);
BOOL InstallHook();
BOOL UnInstallHook();
DWORD* GetIatAddr(const char* dllName, const char* dllFunName);

test main.cpp

#include<Windows.h>

int main()
{

	HMODULE hModule = LoadLibraryA("IATHook.dll");
	if (hModule)
	{
		MessageBoxW(0, L"好喽", L"结束折磨", MB_OK);
	}
	return 0;
}

编写完成后我们通过代码注入器进行注入。
在这里插入图片描述

Inline hook

如果我们想要操控的函数不在IAT表中我们该如何hook?
可以使用内联hook。

思路

1、找到我们要HOOK函数地址
2、保存要HOOK的函数的前5个字节
3、计算目标函数距离jmp指令的一条指令的偏移offset
4、改变函数的前5个字节改成OXE9 offset
正常的API函数调用流程应该是由调用者(进程)通过函数名去调用已加载动态链接库中的导出函数。那么InlineHook的流程一般是在被调用API的头部,插入跳转指令的方式,劫持函数执行流程。

下图就是MessageBoxA的函数实现:
在这里插入图片描述

那么,我们可以在头部做出如下修改,进而实现HOOK:
在这里插入图片描述
上图中的12345678就代指的是我们自己的函数,通过这种方法劫持到我们的流程中执行。下面,我们采用MessageBoxW的Hook作为例子,实际体验一下InlineHook的实现方式。

硬编码

之所以要对前五个字节进行操控,是因为五个字节为jmp命令需要占五个字节,硬编码中jmp指令为 E9 xxxxx
汇编中要jmp跳转的目标地址=xxxxx+5+jmp指令初地址
即上图12345678-= 9C5421A3+5+75E034D0

所以E9后面xxxxx就是跳转目标地址距JMP指令下一个指令的偏移
在这里插入图片描述

main.h

#pragma once
#include<iostream>
#include<Windows.h>
int WINAPI MyMessageBoxW(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCWSTR lpText,
	_In_opt_ LPCWSTR lpCaption,
	_In_ UINT uType);
BOOL InstallHook();
BOOL UnInstallHook();

main.cpp

#include"main.h"

DWORD g_unhookfun = NULL;
char g_oldcode[5] = { 0 };//函数的前五个字节也就是旧函数的地址
char g_newcode[5] = { 0xE9 };

//思路
//1、找到我们要HOOK函数地址
//2、保存要HOOK的函数的前5个字节
//3、计算目标函数距离jmp指令的一条指令的偏移offset
//4、改变函数的前5个字节改成OXE9 offset

//1、初始化函数:进行hook的初始工作找到hook函数保存函数的前五个字节,计算出偏移值。保存改变后的前5个字节
//2、安装钩子
//3、卸载钩子
//4、自定义函数

int WINAPI MyMessageBoxW(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCWSTR lpText,
	_In_opt_ LPCWSTR lpCaption,
	_In_ UINT uType)
{
	UnInstallHook();
	int result = MessageBoxW(hWnd, L"51HOOK", lpCaption, uType);
	InstallHook();
	return result;
}

//安装钩子
BOOL InstallHook()
{
	DWORD oldProtect = 0;
	if (g_unhookfun==0)
	{
		return FALSE;
	}
	VirtualProtect((DWORD*)g_unhookfun, 5, PAGE_EXECUTE_READWRITE, &oldProtect);
	memcpy((DWORD*)g_unhookfun, g_newcode, 5);	
	VirtualProtect((DWORD*)g_unhookfun, 5, oldProtect, &oldProtect);
	return TRUE;
}

//卸载钩子
BOOL UnInstallHook()
{
	DWORD oldProtect = 0;
	if (g_unhookfun == 0)
	{
		return FALSE;
	}
	VirtualProtect((DWORD*)g_unhookfun, 5, PAGE_EXECUTE_READWRITE, &oldProtect);
	memcpy((DWORD*)g_unhookfun, g_oldcode, 5);
	VirtualProtect((DWORD*)g_unhookfun, 5, oldProtect, &oldProtect);
	return TRUE;
}

//初始化函数
BOOL InitHook()
{
	//找到要Hook函数的地址
	HMODULE hModule = LoadLibraryA("user32.dll");
	if (hModule == 0)
	{
		return 0;
	}
	g_unhookfun = (DWORD)GetProcAddress(hModule, "MessageBoxW");
	//保存函数的前五个字节(旧函数的地址)
	memcpy(g_oldcode, (char*)g_unhookfun, 5);
	//计算偏移
	DWORD offset = (DWORD)MyMessageBoxW - (g_unhookfun + 5);
	//保存hook后的五个字节(新函数的地址)
	memcpy(&g_newcode[1], &offset, 4);
	return TRUE;
}

BOOL WINAPI DllMain(HINSTANCE hInstance, DWORD callReason, LPVOID lpReserved)
{
	if (callReason == DLL_PROCESS_ATTACH)
	{
		InitHook();
		InstallHook();
	}
	else if (callReason == DLL_PROCESS_DETACH)
	{
		UnInstallHook();
	}
	return TRUE;
}

调试DLL

有时候我们没办法调试,不知道dll文件哪里有问题,我们可以在项目属性里,浏览要注入的exe文件,选中后应用确定。直接调试,我们可以看到关联的exe文件也运行了,这时打开dll注入工具注入dll,即可进行调试。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

webfker from 0 to 1
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hook工具例子 监控任意窗体拦截消息
03-06
修改代码,随意hook窗口,监控窗口事件。
免杀前置——Windows编程】二、字符串处理——C++中支持字符集及windows对应字符串类型、ACHAR\WCHAR\TCHAR的区别、VS中字符集(编码)的切换
m0_62783065的博客
11-05 381
免杀前置——Windows编程】二、字符串处理——C++中支持字符集及windows对应字符串类型、ACHAR\WCHAR\TCHAR的区别、VS中字符集(编码)的切换
HOOK消息钩子
weixin_41204880的博客
07-27 397
大致的过程是当系统I/O上发生一个事件时,系统捕获该事件,并向指定的应用程序的消息队列发送一个消息,应用程序从消息队列中顺次取出一个消息,交由系统调度相应的窗口回调程序进行消息处理。 这里可以看到,从OS捕捉到消息开始处理,到最后交还给OS调度回调函数,就像走了一个循环,我自己理解这也是为什么叫做“回调函数”的原因之一。接下来我们要进行的HOOK就是在上面的第二步和第三步之间进行的额外工作。 钩子机制允许应用程序截获(且或)处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把
消息HOOK
woyaowenzi的专栏
07-15 4750
HOOK 消息HOOK SetWindowsHookEx
消息hook
Tandy12356_的博客
05-23 2737
使用消息hook实时查看你的好基友的聊天记录!
HOOKAPI(二)——HOOK自己程序的MessageBox
02-26
以下将给出一个简单的例子,作为HOOKAPI的入门。这里是HOOK自己程序的MessageBox,即将自己程序对MessageBoxAPI的调用重定向到自己实现的API中,在自己定义的API中实现内容的替换。需要注意的是,本例子的HOOK仅仅对...
HOOKAPI(四)——进程防终止
02-26
这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOKAPI的方式实现。起初学习HOOKAPI的起因是因为要实现对剪切板的监控,后来面对进程保护这样一个需求时,综合各方资料并自己动手...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
一个Inline Hook插件
HOOKAPI(三)——HOOK所有程序的MessageBox
02-26
本实例要实现HOOKMessageBox,包括MessageBoxA和MessageBoxW,其实现细节与HOOKAPI(二)中介绍的基本类似,唯一不同的是,本实例要实现对所有程序的HOOKMessageBox,即无论系统中哪一个程序调用MessageBox都会被...
C++ Inline hook实现进程防终止(不用写驱动)
nnKevi的博客
06-23 2304
最近想写一个杀毒软件,可是别人在任务管理器里轻轻松松就把我的进程结束了,我希望把我的杀毒软件做成360那样,一旦结束就提示“拒绝访问”,而且不管你用任务管理器,还是taskkill,进程都无法结束。于是,我在网上搜集了大量的资料,很多资料都说要写驱动,可我是一名小白,根本不会写驱动,正准备去学的时候,突然发现写驱动需要数字签名,还要花250美金,也就是1750人民币左右!我可不想花这么多钱。我一开始误以为写驱动是为了在Ring0运行,从而让进程杀不掉,但是杀毒软件这个进程其实还是在Ring3运行的,所以不是
windowsHOOK消息真心不知道HOOK了些什么和什么
xzm_cn
12-06 883
#define _WIN32_WINNT 0x500 #include static LRESULT CALLBACK hookproc(UINT nCode,WPARAM wParam,LPARAM lParam); BOOL _stdcall InstallMyHook(HWND hWnd); BOOL _stdcall UninstallMyHook(HWND hW
二、C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1330
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL
Hook免杀实战: 去除杀软的三环钩子
xf555er的博客
08-23 686
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能许多杀毒软件使用钩子(hook)技术来监视系统的API函数调用,并检测潜在的恶意代码行为。
Inline Hook
enjoy5512的博客
06-02 6546
Inline Hooking的实现
IAT hookinline hook区别
yshshx的博客
11-24 1720
IAT hook 导入表hook原理:修改导入表中某函数的地址到自己的补丁函数。IATHook 通过GetProcAddress获取目标函数地址 在程序内存中找到所在dll的导入表 查找目标函数地址保存的位置 把地址修改为自己补丁函数 问题:当该函数递归调用时,不会被hook 为解决这个问题,可以使用inline hook inline hook 需要一个代理函数ProxyFunction,调...
Inlinehoo,iathook,详细说明
XiaoT001的博客
03-01 346
原 内存注入之IAT HookInline Hook综合程序 软件结构 数据结构 进程信息结构体 IAT表项结构体 函数列表 具体实现 模块一之进程信息获取 1) 获取调试权限 2) 获取进程快照 3) 获取第一个进程信息 4) 获取进程第一个模块信息 5) 继续获取其他进程信息 运行结果 :...
金山词霸抓词机理 -- HOOK消息功能的使用
xuqiang918的专栏
02-19 751
内容提要 Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息等。本文在VC5编程环境下实现了一个简单的鼠标钩子
C-数据结构-单向循环链表
aqiangdeba的博客
05-23 188
单向无头结点一定要注意传参 一般是二维指针问题 非常容易出错。
反转链表-力扣
最新发布
why_12134的博客
05-23 43
该题使用虚拟头节点来做在思考的时候稍微有点复杂,但与从头节点开始,利用一个cur节点来反转流程是一样的,只需将dummyhead->next 当作是 cur 来操作即可。
c++ 代码 inline hook 免杀defender
06-12
在实现 inline hook 的过程中,可能会受到 Windows Defender 等杀毒软件的拦截,导致程序无法正常运行。为了免杀 inline hook,可以采用以下一些技巧: 1. 使用 DLL 注入技术。将 hook 代码放在一个独立的 DLL 中,然后使用 `LoadLibrary` 和 `GetProcAddress` 函数来加载并调用 DLL 中的函数。这样可以避免 hook 代码被杀毒软件直接识别。 2. 使用代码加密和混淆技术。将 hook 代码进行加密和混淆,使得杀毒软件难以识别和分析。 3. 在 hook 函数中添加伪造的代码,使得杀毒软件误认为 hook 函数并不是恶意的代码。比如,在 hook 函数中添加一些无害的 API 调用,或者添加一些伪造的系统调用。 4. 使用钩子技术。钩子技术比 inline hook 更加难以被杀毒软件检测到,因为它是 Windows 操作系统提供的官方 API。 需要注意的是,使用任何免杀技术都可能违反了杀毒软件的隔离策略,因此需要谨慎使用,遵守法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

webfker from 0 to 1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值