hook虚表监控虚表

最新推荐文章于 2024-05-11 01:11:48 发布
最新推荐文章于 2024-05-11 01:11:48 发布
阅读量890 收藏
点赞数
分类专栏: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomelozero/article/details/45054639
版权

RTTI(Runtime Type Identification,运行时类型识别)由c++编译器将对象的类型信息嵌入程序的只读数据段,以 支持C++的各种操作符在运行时确定(typeid)和检查(dynamic_cast)一个对象的数据类型。
对微软的编译器而言,RTTI和虚表位置在-4的地址构建。

#include <stdio.h>
#include <Windows.h>
#define VTSIZE	6
#pragma pack(1)
class Parent
{
public:
	virtual void Fun1() = 0;
	virtual void Fun2() = 0;
	virtual void Fun3() = 0;
	virtual void Fun4() = 0;
	virtual void Fun5() = 0;
};

class Child: public Parent
{
public:
	void Fun1()
	{
		printf("11111\n");
	}
	void Fun2()
	{
		printf("22222\n");
	}
	void Fun3()
	{
		printf("33333\n");
	}
	void Fun4()
	{
		printf("44444\n");
	}
	void Fun5()
	{
		printf("55555\n");
	}

};

typedef struct _JMP_TABLE_ITEM{
	//UCHAR uPushesi;	//backup esi for checkesp	push esi, pop esi

	UCHAR uMoveEaxForFactAddr;
	DWORD dwFactAddr;
	UCHAR uPashEaxForFactAddr;
	//UCHAR uPushad;	//0x60
	//UCHAR uPushfd;	//0x9c
	//UCHAR uJmp;
	//DWORD dwCheckAddr;
	//jmp to check function

	//simulate messagebox	exist issue
#ifdef DEBUG
	UCHAR push0;
	UCHAR zero0;
	UCHAR push1;
	UCHAR zero1;
	UCHAR push2;
	UCHAR zero2;
	UCHAR push3;
	UCHAR zero3;
	UCHAR tempmoveax;
	DWORD dwmsgAddr;
	UCHAR uJmpmsg;	//FF
	DWORD uJmpeaxaddr;	
	UCHAR add;
	UCHAR esp;
	UCHAR four;
#endif

	//UCHAR uPopad;	//61
	//UCHAR uPopfd;	//9d
	UCHAR uPopeax; //58
	UCHAR uJmp22;	//FF
	UCHAR uJmpEax;	//EO
	
}JMP_TABLE_ITEM;

void CheckFunc(DWORD checkNum)
{
	
}

void InitFakeVirtualTable(DWORD *pfakevt,JMP_TABLE_ITEM *pJMPTable, DWORD pFactvt, DWORD msgaddr)
{
	DWORD *pvt = (DWORD*)*(DWORD*)pFactvt;
	for(int i = 0; i < VTSIZE; ++i)
	{
		*pfakevt = (DWORD)pJMPTable;
		pJMPTable->uMoveEaxForFactAddr = 0xB8;
		pJMPTable->dwFactAddr = *(DWORD*)(pvt+i);
		pJMPTable->uPashEaxForFactAddr = 0x50;	//push fact virtual function address
		//pJMPTable->uPushad = 0x60;
		//pJMPTable->uPushfd = 0x9C;
		//pJMPTable->uJmp = 0xE9;
		//pJMPTable->dwCheckAddr = (DWORD)CheckFunc;
#ifdef DEBUG
		pJMPTable->push0 = 0x6A;
		pJMPTable->zero0 = 0x0;
		pJMPTable->push1 = 0x6A;
		pJMPTable->zero1 = 0x0;
		pJMPTable->push2 = 0x6A;
		pJMPTable->zero2 = 0x0;
		pJMPTable->push3 = 0x6A;
		pJMPTable->zero3 = 0x0;
		pJMPTable->tempmoveax = 0xB8;
		pJMPTable->dwmsgAddr = msgaddr;
		pJMPTable->uJmpmsg = 0xFF;	//FF
		pJMPTable->uJmpeaxaddr = 0xE0;
		pJMPTable->add = 0x83;
		pJMPTable->esp = 0xC4; 
		pJMPTable->four = 0x10;
#endif
		//pJMPTable->uPopad = 0x61;
		//pJMPTable->uPopfd = 0x9d;
		pJMPTable->uPopeax = 0x58;
		pJMPTable->uJmp22 = 0xFF;
		pJMPTable->uJmpEax = 0xE0;
		pfakevt++;pJMPTable++;
	}
}

void main()
{
	//Fake virtual table
	DWORD *pfakeVirtualTable = new DWORD[VTSIZE]();
	JMP_TABLE_ITEM *pJMPTable = new JMP_TABLE_ITEM[VTSIZE]();
	DWORD oldprotect = 0;
	VirtualProtect(pfakeVirtualTable,1024,PAGE_EXECUTE_READWRITE,&oldprotect);
	//VirtualProtect(pJMPTable,1024,PAGE_EXECUTE_READWRITE,&oldprotect);

	Parent *pChild = new Child();
	DWORD ptemp = (DWORD)pChild;
	
	//simulate checkfunc
	HMODULE hNtdll = GetModuleHandleA("user32.dll");
	DWORD addr = (DWORD)GetProcAddress(hNtdll,"MessageBoxA");

	InitFakeVirtualTable(pfakeVirtualTable,pJMPTable,ptemp,addr);

	*(DWORD*)pChild = (DWORD)pfakeVirtualTable;
	pChild->Fun1();
	pChild->Fun2();
	pChild->Fun3();
	pChild->Fun4();
	pChild->Fun5();
	VirtualProtect(pfakeVirtualTable,1024,oldprotect,&oldprotect);
	//VirtualProtect(pJMPTable,1024,oldprotect,&oldprotect);
}


 

pomelozero
关注
专栏目录
win7及以上系统C++实现Hook explorer文件级监控复制、剪切和删除操作
BruceAYG的博客
08-06 6942
最近项目组需要实现一个对windows用户文件操作进行监控的功能,(也就是使用explorer资源管理器的操作),于是乎我就想到了使用Hook的方法进行拦截,查找一番资料后发现XP调用的是最简单的CopyFileEx, MoveFileWithProgressW, ReplaceFileW之类的API,所以XP是最好解决的,但是到了Vista及以后的系统中,微软采用了一种新的方法——com组件里的...
hook 虚表
weixin_30849403的博客
08-10 215
PVOID*GetVtpl(PVOIDlpThis,intnIndex){return*(PVOID**)lpThis+nIndex;}PVOIDHookVtpl(PVOID*lpAddr,PVOIDlpNewAddr){DWORDdwOldProtect;PVOIDlpResult=NULL;if(VirtualProtect(lp...
Hook技术第二讲,之虚表HOOK
qq_34573534的博客
12-26 1299
一、认识虚表指针以及虚表 讲解之前我们要认识一下类在内存中的表现形式,以及认识虚表指针。 1.首先我们知道,当类中有虚函数的时候,则会生成虚表指针,虚表指针指向了虚表虚表中保存的则是当前类中所有虚函数的函数地址。 内存结构图:    第一个是类的内存结构,第二个是虚表。 那么我们就有想法了,当我们调用虚函数的时候,会通过虚表指针,找到虚表,而后找到虚函数地址 那么现在我们是否可以将...
hook虚表,快速获取怪物动向,boss技能
任鸟飞2217777779的博客
11-27 740
我们把虚表中的虚函数地址修改成我们自己的函数地址,执行完我们的代码,我们再调用他原来的真正的虚函数
C++:虚函数表Hook
最新发布
WolvenSec的博客
05-11 845
在C++中,虚函数表是用于实现动态多态性的重要机制,每个对象都有一个指向虚函数表的指针,该表中存储了虚函数的地址,通过修改这个虚函数表(即替换虚函数表中存储的函数指针),我们可以改变类的行为,使其调用不同的函数。由于在内存中虚函数表具有保护属性,是不可写的,所以在Windows环境中我们要进行虚函数表Hook需要通过调用Windows API中的一个函数。虚函数表Hook是一种强大而灵活的技术,可以用于实现各种高级功能,但需要谨慎使用,并且要对目标程序的内部结构有深入的了解。
简单的虚表Hook
qq_39708161的博客
02-06 599
最近在学习C++虚函数表的Hook,这里简单上传一个小例子,是64位32位通用的 // ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include #include /// 虚表指针的地址 /// fake函数地址 /// 欲Hook函数的引索 /// 保存原函数地址 BOOL HookVT(IN PVOID __vfptr, IN
易语言远程HOOK监视内存读写源码
06-06
在本例中,远程HOOK意味着这种监控发生在目标进程而不是当前进程,增加了功能的灵活性和隐蔽性。 2. **内存读写监视**:内存读写操作是程序执行的基础,监视这些操作可以揭示程序内部的运行细节,如变量的变化、...
API-Hook.rar_api hook_hook_hook api_对api进行hook
09-20
- IAT(Import Address Table)Hook:修改目标进程的导入地址表,使函数调用指向你的Hook函数。 - VMT(Virtual Method Table)Hook:对于使用虚函数的类,可以替换类的VMT来Hook特定方法。 - Proxy Function:...
API-Hook.zip_api hook_hook_hook api_钩子
09-24
4. **VTable Hook**:对于使用虚函数的类,可以通过修改对象的虚函数表(VTable)来实现Hook。这在处理面向对象的API时特别有用。 5. **Detouring**:Detouring技术,如Microsoft的Detours库,允许开发者在不修改...
易语言hook WSASend
06-03
在易语言中,"hook"技术是一种常见的功能,它用于拦截和修改程序中的特定函数调用,以便在不改变原有代码的情况下扩展或监控程序的行为。在本例中,我们讨论的是对WSASend函数的hook。 WSASend是Windows Socket API...
vc++ HOOK 技术 (API钩子)
07-13
vc++ HOOK 技术 (API钩子)
C++ 虚表测试程序
weixin_39234635的博客
03-31 1007
测试C++虚表 #include <iostream> using namespace std; class base { public: virtual void f() { cout << "base::f" << endl; } virtual void g() { cout << "base::g" << endl; } virtual void h() { cout <&l
Hook技术:虚表hook及虚函数的调用过程详解(附源码)
weixin_43742894的博客
05-08 2315
偶然间看到一篇帖子讲述的是虚表Hook,之前没有接触过,兴趣多致,进行学习和实践,将个人感悟与代码分享出来。 什么是虚表hook? 首先我们应该要先了解什么是虚表? 虚函数(Virtual Function)是通过一张虚函数表(Virtual Table)来实现的。简称为V-Table。 在这个表中,主是要一个类的虚函数的地址表,这张表解决了继承、覆盖的问题,保证其容真实反应实际的函数。 我们调...
反汇编 之 virtual-04 验证虚表
xiaozhi
03-12 307
#include <iostream> #include <stdio.h> class Base { public: int x; int y; virtual void function_1() { printf("function_1...\n"); } virtual void function_2() { ...
C++虚函数表(含测试代码)
cold_windx的博客
10-12 368
自己搞不懂C++虚函数之间的调用关系,特地花费一个下午加一个晚上查资料学习,现在把学到的发上来,供大家学习批评; 在此之前感谢这些大佬的博客等,为我解惑甚多: https://www.cnblogs.com/hushpa/p/5707475.html https://blog.csdn.net/blight_888/article/details/69055766 https://www....
C++——多态总结
JenaeLi的博客
03-08 528
在博客多态&虚函数中主要对多态的一些基本概念和虚函数做了介绍,下面,我们来探究一下【虚表】。含有虚函数的类 先来看看含有虚函数的类的大小吧!class B { public: virtual void Show() { cout << _b << endl; } public: int _b; }; 一眼看过去,这个类中只有一个int类型的变量_b,
虚表剖析
boboboke
06-11 536
首先介绍一下虚表:在C++语言中,每个有虚函数的类或者虚继承的子类,编译器都会为它生成一个虚拟函数表(简称:虚表),表中的每一个元素都指向一个虚函数的地址。(注意:虚表是从属于类的)一.虚表的存在形式class Base { public: virtual void fun1() { cout << "Base::fun1()" << endl; }
C++中的动态绑定
hello world@2012
04-03 3259
C++中的动态绑定  动态绑定(dynamic binding):动态绑定是指在执行期间(非编译期)判断所引用对象的实际类型,根据其实际的类型调用其相应的方法。  C++中,通过基类的引用或指针调用虚函数时,发生动态绑定。引用(或指针)既可以指向基类对象也可以指向派生类对象,这一事实是动态绑定的关键。用引用(或指针)调用的虚函数在运行时确定,被调用的函数是引用(或指
深入解析API Hook技术及其应用
对于面向对象编程的API,可以Hook虚函数表(VTable)来改变类实例的方法调用行为。 6. **Detours库**: 微软的Detours库提供了一种方便的方式来实现API Hook,它允许程序员在不修改原始代码的情况下,透明地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值