安全的交互通道 及 栈回塑检查与伪造

最新推荐文章于 2018-12-29 11:36:06 发布
最新推荐文章于 2018-12-29 11:36:06 发布
阅读量680 收藏 1
点赞数
分类专栏: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomelozero/article/details/45044749
版权

第四章:安全的交互通道
消息钩子,Hook游戏消息处理过程,GetKeyState(),GetAsyncKeyState()和GetKeyBoardState()函数,进程间通信。
消息钩子:SetWindowsHookEx(),UnhookWindowsHookEx()
Hook游戏消息处理过程:GetWindowLong(),SetWindowLong()
GetKeyState(),GetAsyncKeyState()和GetKeyBoardState()函数:容易Hook检测到。
 按键->键盘驱动捕捉这个中断转为Virtual Key Code -> I/O管理器装成IRP(中断请求包)->OS组装VK_XX为WM_CHAR.
 GetKeyState,GetKeyBoardState两个在消息过程(此时状态才会变)中使用前者取一个,后者取所有的。
 GetAsyncKeyState其返回值内容,最高位表示是否按下,最低位表示上次调用此函数后,这个按键是否按下。

 

栈回塑检查就是检查返回地址是否合法,伪造就是push一个伪造的栈帧进去。

game.exe  游戏映像
normal.dll  游戏功能模块

invader.dll 非法模块

//game.exe
#include "normaldll\normaldll.h"
#include "invader\invader.h"
#include <vector>
#include <Windows.h>
using namespace std;

vector<int> vecAddr;

int ebpret[6][2] = { 0 };

void fun1()
{
	__asm{
		push eax
		push ebx
		push ecx
		lea eax, [ebpret]
		mov [eax], ebp
		mov ecx, ebp
		add ecx, 4
		mov ebx, [ecx]
		add eax, 4
		mov [eax], ebx
		pop ecx
		pop ebx
		pop eax
	}

	for(int i = 0; i < 6; ++i)
	{
		printf("ebp:%08x   retaddr:%08x \n",ebpret[i][0],ebpret[i][1]);
	}
	fnnormaldll();
}
void fun2()
{
	__asm{
		push eax
		push ebx
		push ecx
		lea eax, [ebpret]
		add eax, 8
		mov [eax], ebp
		mov ecx, ebp
		add ecx, 4
		mov ebx, [ecx]
		add eax, 4
		mov [eax], ebx
		pop ecx
		pop ebx
		pop eax
	}
	fun1();
}
void fun3()
{
	__asm{
		push eax
		push ebx
		push ecx
		lea eax, [ebpret]
		add eax, 0x10
		mov [eax], ebp
		mov ecx, ebp
		add ecx, 4
		mov ebx, [ecx]
		add eax, 4
		mov [eax], ebx
		pop ecx
		pop ebx
		pop eax
	}
	fun2();
}

void fun4()
{
	__asm{
		push eax
		push ebx
		push ecx
		lea eax, [ebpret]
		add eax, 0x18
		mov [eax], ebp
		mov ecx, ebp
		add ecx, 4
		mov ebx, [ecx]
		add eax, 4
		mov [eax], ebx
		pop ecx
		pop ebx
		pop eax
	}
	fun3();
}

void main()
{
	HMODULE baseAddr = GetModuleHandle(L"testFakeStackFrames.exe");
	nnormaldll = (int)baseAddr;
	ninvader = (int)baseAddr;

	ninvader = (int)baseAddr;
	fninvader();
	__asm{
		push eax
		push ebx
		push ecx
		lea eax, [ebpret]
		add eax, 0x20
		mov [eax], ebp
		mov ecx, ebp
		add ecx, 4
		mov ebx, [ecx]
		add eax, 4
		mov [eax], ebx
		pop ecx
		pop ebx
		pop eax
	}
	fun4();

	while(true)
	{
		Sleep(1000);
	}
}


 

//normal.dll
// normaldll.cpp : Defines the exported functions for the DLL application.
//

#include "stdafx.h"
#include "normaldll.h"
#include <string>

// This is an example of an exported variable
NORMALDLL_API int nnormaldll=0;

int ebpretdll[6][2] = { 0 };

bool CheckStackFrame()
{
	int bRet = 0;
	__asm
	{
		push eax
		push ebx
		push ecx
		push edx
		push edi
		push ebp

		lea edx, [ebpretdll]
		mov ebx, nnormaldll
		mov ecx, 5
label:
		mov [edx], ebp
		add edx, 4
		mov ebx, ebp
		add ebx, 4
		mov edi, [ebx]
		mov [edx],edi
		add edx, 4

		mov edi, [ebp]
		mov ebp, edi

		dec ecx
		jge label

		pop ebp
		pop edi
		pop edx
		pop ecx
		pop ebx
		pop eax
	}
	printf("EXE Baseaddr:%08x\n follow is check statck info:\n",nnormaldll);
	for(int i = 0; i < 6; ++i)
	{
		printf("ebp:%08x   retaddr:%08x \n",ebpretdll[i][0],ebpretdll[i][1]);
	}
	return bRet;
}
// This is an example of an exported function.
NORMALDLL_API int fnnormaldll(void)
{
	CheckStackFrame();
	wchar_t buf[100] = { 0 };
	wsprintfW(buf,L"EXE address:%08x, current dll address:%08x",nnormaldll,GetModuleHandle(L"normaldll.dll"));
	MessageBoxW(NULL,buf, L"normal dll caption", MB_OK);
	return 42;
}

// This is the constructor of a class that has been exported.
// see normaldll.h for the class definition
Cnormaldll::Cnormaldll()
{
	return;
}


 

//invader.dll
// invader.cpp : Defines the exported functions for the DLL application.
//

#include "stdafx.h"
#include "invader.h"
#include <windows.h>
#include <stdio.h>
#include <process.h>

#include "..\normaldll\normaldll.h"

// This is an example of an exported variable
INVADER_API int ninvader=0;

HANDLE g_event = NULL;
typedef int (*PFUN)(void);
DWORD fakestack[20] = { 0 };
DWORD addr = 0;

_declspec (naked) void fakeframe(DWORD funaddr,DWORD fakestack)
{
	__asm{
		mov edi, edi
		push ebp
		mov ebp, esp

		push eax
		push ebx
		//push ebp
		mov eax, addr
		add eax,18*4
		mov ebx, [ebp]
		mov [eax], ebx
		add eax,4
		mov [eax], esp
		
		jmp PUSH_REAL_RET_ADDR
FUN:
		push 0x771f000a		;//ret

		mov eax, ebp
		mov ebx, addr
		mov [eax],ebx

		mov eax, funaddr
		jmp eax
PUSH_REAL_RET_ADDR:
		call FUN
		mov eax, addr
		add eax,19*4
		mov esp, [eax]
		sub eax, 4
		mov ebx, [eax]
		mov [ebp], ebx

		pop ebx
		pop eax

		mov esp, ebp
		pop ebp
		ret 8
	}
}

void hah1()
{
	for(int i = 0; i< 20; )
	{
		fakestack[i] = (DWORD)&fakestack[i+2];
		fakestack[i+1] = 0x00000021;
		i += 2;
	}
	HMODULE hnormaldll = GetModuleHandleW(L"C:\\test\\testFakeStackFrames\\Debug\\normaldll.dll");
	PFUN p = (PFUN)GetProcAddress(hnormaldll,"?fnnormaldll@@YAHXZ");
	//nnormaldll = (int)GetModuleHandle(L"invader.dll");
	addr = (DWORD)&fakestack;
	fakeframe((DWORD)p,addr);
}
void hah2()
{
	hah1();
}
void hah3()
{
	hah2();
}
void hah4()
{
	hah3();
}

unsigned __stdcall start_address( void * pa )
{
	g_event = CreateEventW(NULL,FALSE,FALSE,L"SNOWMAN");
	printf("11111\n");
	WaitForSingleObject( g_event, INFINITE );

	hah4();
	while(true)
	{
		printf("dddddddddddddd\n");
		Sleep(1000);
	}
	_endthreadex( 0 );
	return 0;
}


// This is an example of an exported function.
INVADER_API int fninvader(void)
{
	HANDLE hthread = (HANDLE)_beginthreadex(NULL,0,&start_address,NULL,0,NULL);
	//Sleep(3000);
	//hah4();
	return 42;
}

// This is the constructor of a class that has been exported.
// see invader.h for the class definition
Cinvader::Cinvader()
{
	return;
}


 

//trigeror
#include <windows.h>
#include <stdio.h>
#include <process.h>

void main()
{
	HANDLE g_event = CreateEventW(NULL,FALSE,FALSE,L"SNOWMAN");
	if(GetLastError() == ERROR_ALREADY_EXISTS)
	{
		printf(" OK is exist, only triger\n");
		SetEvent(g_event);
	}
}


测试结果:

normal.dll调用时栈如下:

非法调用时的栈:

pomelozero
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GetKeyState函数详解
OPM的博客
06-23 6106
函数只有一个参数,即虚拟键码。返回值为SHORT类型,即短整型。GetKeyState函数是用来获取指定的虚拟键码的按键的状态。得到的状态表示按键是按下了还是弹起的,还是状态切换(大小写状态、数字键盘锁状态)。 一、判断按键是否被按下。通过高位来进行判断,高位为1表示按键按下,高位为0表示按键弹起。具体方法如下: 方法1:如果高位为1表示按键按下,此时返回值为负数(<0);如果高位为0表示按键弹起,此时返回值为正数(>0)。所以可以通过返回值与0比较进行判断按键是否按下。 ...
获取键盘的按键(Hook)
Qi_jianzhou的资料室
08-25 2774
 下面这段程序是我从网上找到的,有几处不明白的地方,请教一下 function KeyboardHookHandler(iCode : Integer;WParam : WPARAM;lParam :LPARAM) : LRESULT ;stdcall ; export; const   _KeyPressMask = $80000000 ;   {   这里是定义了一个常量,我看了看,主要是
黑客技术:利用Hook技术实现键盘监控(转)
cuankuangzhong6373的博客
12-29 870
 在许多系统中,出于安全或其它原因,常常要求随时对键盘进行监控,一个专业的监控程序必须具备两点,一是实时;二是作为指示图标运行。实际应用中把利用Hook(即钩子)技术编写的应用程序添加到Windows的任务栏的指示区中就能够很好...
Android客户端与服务器端的json数据交互(内含大量知识点)
09-15
在Android应用开发中,客户端与服务器端的数据交互是不可或缺的一部分,JSON作为一种轻量级的数据交换格式,被广泛用于Android和服务器之间的通信。本教程将详细阐述Android客户端如何使用JSON进行数据交互,包括...
在此页面上的Activex控件和本页上的其他部分及交互可能不安全解决办法
12-25
在此页面上的Activex控件和本页上的其他部分及交互可能不安全解决办法,步骤清晰,按步骤操作即可。
Android与js交互实例
04-01
Android与js交互实例,Android 中可以通过webview来实现和js的交互,在程序中调用js代码,只需要将webview控件的支持js的属性设置为true
android中Webview与javascript的交互(互相调用)
07-18
本篇文章将详细探讨Android中的WebView与JavaScript如何进行交互,包括互相调用的原理、步骤以及注意事项。 **一、WebView基础知识** 1. **WebView的引入**:在Android应用中,我们需要在布局XML文件中添加WebView...
封装一个类搞定90%安卓客户端与服务器端交互
07-01
本实例封装了一个处理安卓客户端与服务器端交互的几个方法,对于中文乱码问题本实例也找到了解决方案.本例可以处理的场景如下: 1.与服务器端交互json数据. 2.Get方式与服务器端交互数据. 3.Post方式与服务器端交互...
使用HOOK屏蔽系统快捷键
02-08
代码来自http://www.vckbase.com/document/viewdoc/?id=424,具体原理请看链接地址 本人将其转成了VS2010 如果要将工程转成BCB: 1.修改TaskKeyHook.h中的宏定义 #define DLLIMPORT extern "C" __declspec(dllimport) _stdcall 修改TaskKeyHook.cpp的宏定义 #define DLLEXPORT extern "C" __declspec(dllexport) 2.重新编译生成TaskKeyHook.DLL 3.请运行bcbDll.bat导出TaskKeyHook.dll的lib文件
HOOK实例之一:实现键盘钩子截获密码等键盘输入(vs2013详细流程)
Childe_Mu的博客
01-29 1万+
最近因业务需求,做一款银行安全控件,其中需要用到HOOK,网上查了很多资料,但是很多demo经过测试都用不了(可能是个人技术水平等原因),百般曲折之后,了解HOOK的皮毛,所以决定分享出来,希望可以帮到其他萌新。 1.创建一个MFC应用程序解决方案——KeyboardHook(用MFC是因为MFC有页面,更直观),中间选应用程序类型选基于对话框,其他一直下一步,最后点击完成。
GetKeyState()和GetAsyncKeyState()的区别
热门推荐
FlowShell的专栏
03-27 1万+
使用::GetKeyState()返回一个short型的数,short型是16位有符号的数据类型,如果要查询的键被按下,返回值最高位被置1,则这个数表示负数,所以可以用0来判断。0x8000是16进制数,用2进制表示为1000 0000 0000 0000,&是按位与。同样,如果键被按下,返回值最高位为1,则1xxx xxxx xxxx xxxx & 1000 0000 0000 0000得到
为什么GetAsyncKeyState()& 0x8000
bingtears的专栏
05-10 3777
0x8000 & GetKeyState(VK_SHIFT); 这句是判断是否有按下shift键 为什么GetAsyncKeyState()& 首先说明,有好多程序或书上是0x8000f,这个f不是十六进制的f而是代表浮点数。其实& 8000才是本质。小鱼我整理后自己写了点东西,总结一下 首先介绍一下几个概念: 按位与运算符"&":是双目运算符,其功能是参与运算的两数各...
钩子(hook)编程
xringm的博客
03-28 1227
钩子(hook)编程     一、钩子介绍      1.1钩子的实现机制 钩子英文名叫Hook,是一种截获windows系统中某应用程序或者所有进程的消息的一种技术。下图是windows应用程序传递消息的过程: 如在键盘中按下一键,操作系统将收到键按下消息,把消息放入消息队列,然后消息队列对消息进行派发,发给相应的应用程序,经过应用程序处理后发给操作系统,操作系统再调用相应的应
AUTOSAR SecOC:汽车网络信息安全深度解析与交互机制
1. **模块交互**:SecOC模块与PduR(Protocol Data Unit Router,协议数据单元路由器)紧密合作,负责接收、处理和路由安全相关的I-PDUs(Interface Protocol Data Unit,接口协议数据单元)。PduR负责传输数据到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值