基于VEH&调试寄存器实现无痕HOOK(5)

最新推荐文章于 2024-09-26 02:11:45 发布
最新推荐文章于 2024-09-26 02:11:45 发布
阅读量2.6k 收藏 7
点赞数 2
分类专栏: 网络安全 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/122239792
版权
本文介绍了如何基于VEH异常处理和硬件调试寄存器实现无痕HOOK,避免了软件断点可能导致的问题。通过理解硬件断点的工作原理,如DR0-DR3寄存器的作用,以及DR7寄存器的控制功能,可以实现不修改内存的HOOK。以MessageBoxA函数为例,展示了无痕HOOK的效果。
摘要由CSDN通过智能技术生成

作者 | 榴莲

编辑 | 楌橪

Windows操作系统中存在多种异常处理,我们现在需要的是其中的VEH(VectoredExceptionHandler)异常处理,也就是向量化异常处理。我们之所以可以使用VEH异常来进行HOOK的主要原因,在于两点。其一,VEH异常处理的优先级是高于SEH异常处理的,也就是说可以先手拿到异常,确保不会被其他异常处理流程将异常截获而导致HOOK失败。其二就是在VEH异常处理的回调函数中,可以获取及修改异常发生处的上下文环境,这就意味着我们可以操作的东西会非常多,例如通过上下文环境中的ESP(栈顶指针寄存器)就可以拿到HOOK位置触发异常时的堆栈数据。而我们设置的HOOK位置通常位于函数内部的起始位置,这就意味着我们可以直接通过堆栈里的数据获取到被HOOK函数的参数,并且可以对其进行修改。

在我们之前的文章中,我们已经使用过利用软件断点(int 3 0xCC)触发异常,实现HOOK。

但是这种方法也是有一定缺陷的。例如,如果目标进程具有CRC32一类的完整性检查,int3 软件断点又会修改指令。这样就无法通过完整性检查了。所以,我们这一次,提出一种新的方式。依然是基于VEH异常的,但是可以实现“无痕”的效果。不修改任何一个字节就完成HOOK。那么,这种方式就是基于硬件调试寄存器实现的。也就是硬件断点。因为硬件断点的地址是存储在寄存器里的,所以不会修改内存。

那么在学

最低0.47元/天 解锁文章
极安御信安全研究院
关注
专栏目录
基于VEH无痕HOOK
小龙在线
08-09 455
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。
VEH+硬件断点实现无痕HOOK
09-24
VS2019源码 VEH+硬件断点实现无痕HOOK
免杀笔记 ---> 无痕Hook?硬件断点 Syscall!
最新发布
huohaowen的博客
09-26 813
说到Hook,我们有很多Hook,像Inline-Hook,我们也是用的比较多,但是正如我上一篇Blog说的,他会对内存进行修改,如果EDR或者AV增加一个校验机制,不断检验某一块内存,那么就算你用syscall绕过了Ring3的Hook成功修改了内存也是会被扫描出来的!于是就有了今天的无痕Hook --->硬件断点其实也是小编收到了粉丝的建议,于是赶出来了那个代码,但是这个技术是未公开的,所以小编就不放代码,但是会公布部分,以及一些细节(我也不想这个技术那么快没用,望理解😋)
VEH HOOK
Doub1's Blog
04-10 1941
相关函数 我们只需要用到 AddVectoredExceptionHandler 设置VEH异常捕获 PVOID WINAPI AddVectoredExceptionHandler( _In_ ULONG FirstHandler, _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler ); U...
无痕HOOK方式=硬断+VEH
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
[Rootkit] 无痕 hook - 硬件断点
LYSM
06-10 3440
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hook方式: jmp到我们自己的处理逻辑。上面也分析了,这种方式缺点非常明显;最牛逼的神级hook:VT读写分离前面已经介绍过了,今天继续介绍高级的hook方式:硬件断点; 现代软件开发,尤其是大型软件开发,绝对不可能一步到位,开发期间肯定存在各种bug。为了方便找到这些bug,软件上有专门
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 ...代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API 大牛就别来吐槽了 。- -转来的哦。只在XP WIN7 X32 下测试通过。@659656hkl。
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl ...代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API大牛就别来吐槽了 只在XP WIN7 X32 下测试通过
VEH hook
weixin_50217210的博客
10-16 400
终止当前程序的执行-->调试器(进程必须被调试,向调试器发送EXCEPTION_DEBUG_EVENT消息)-->执行VEH-->执行SEH-->TopLevelEH(进程调试时不会被执行)-->执行VEH-->交给调试器(上面的异常处理都说处理不了,就再次交给调试器)-->调用异常端口通知csrss.exe。思路就是不断改变某一块内存属性,当执行命令或者某些操作的时候,执行的内存属性是可执行的,当功能模块进入睡眠的时候将内存属性改为不可执行。然后就是注册异常函数,这个异常函数就是为了恢复可执行内存属性。
e语言-利用硬断 VEH实现APIHOOK
08-23
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦只在XP WIN7 X32 下测试通过
VEH Hook 及 检测
零点起步
04-15 1万+
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。 在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。 typed
完美绕开CRC32检测的无痕hook
陈子青的博客
07-18 5143
Hook英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从A到B顺序来执行,此时我们在A点做Hook,将程序执行路线变成了从A点先到C点再到B点,这个过程就叫Hook,C点这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序的执行出我们想要的结果。(记住此时的ABC,下文都以此为例)............
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7683
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
[VT虚拟化驱动]利用EPT实现无痕HOOK
热门推荐
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
VEH HOOK FUNCTION
做一个快乐学习者
04-07 373
VEH HOOK MessageBoxA and MessageBoxW demo
易语言无痕hook veh
01-12
易语言是一种编程语言,可以用来开发各种应用程序。无痕hook是一种技术,用于修改和篡改程序执行流程,而不留下明显的痕迹。在易语言中,也可以实现无痕hook技术。 无痕hook在很多场景中有着广泛的应用,如软件安全性评估、逆向工程等。一般来说,hook技术可以通过修改程序的代码或者数据来实现。在易语言中实现无痕hook主要分为两个步骤:寻找被hook的函数地址和修改函数地址。 易语言提供了一些内置函数和接口,可以帮助我们实现无痕hook。例如,可以使用API函数GetModuleHandle获取指定模块的句柄,再使用API函数GetProcAddress获取指定函数的地址。通过修改函数地址,我们可以实现对函数执行流的修改,进而实现无痕hook。 在易语言中,使用无痕hook技术需要谨慎操作,防止程序出错或者造成安全漏洞。同时,还需要遵循相关法律法规,不进行非法的逆向工程或者破解行为。 总结来说,易语言可以实现无痕hook技术,通过寻找被hook的函数地址和修改函数地址,可以实现对程序执行流的修改,从而实现无痕hook。但是在实际应用中,需要谨慎操作并遵守相关法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值