VEH Hook 及 检测

最新推荐文章于 2024-05-18 10:48:48 发布
最新推荐文章于 2024-05-18 10:48:48 发布
阅读量1.1w 收藏 16
点赞数 1
分类专栏: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomelozero/article/details/45061471
版权

SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理)
SEH是OS提供给线程来感知和处理异常的一种回调机制。
在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。
typedef struct _EXCEPTION_REGISTRATION_RECORD {
    struct _EXCEPTION_REGISTRATION_RECORD *Next;
    PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;
EXCEPTION_ROUTINE (
    _Inout_ struct _EXCEPTION_RECORD *ExceptionRecord,
    _In_ PVOID EstablisherFrame,
    _Inout_ struct _CONTEXT *ContextRecord,
    _In_ PVOID DispatcherContext
    );

typedef EXCEPTION_ROUTINE *PEXCEPTION_ROUTINE;
typedef struct _EXCEPTION_RECORD {
    DWORD    ExceptionCode;
    DWORD ExceptionFlags;
    struct _EXCEPTION_RECORD *ExceptionRecord;
    PVOID ExceptionAddress;
    DWORD NumberParameters;
    ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
    } EXCEPTION_RECORD;
   
XP之后,在基于线程的SEH基础增加了基于进程的VEH
比较:
1.SEH基于线程,VEH基于进程
2.优先级:调试器 > VEH > SEH 即KiUserExceptionDispatcher()函数先检查进程是否处理调试,然后VEH,最后SEH.
3.SEH单链表,VEH双链表,VEH节点可挂在头上或尾上。
注册VEH的回调API:
PVOID WINAPI AddVectoredExceptionHandler(
  __in  ULONG FirstHandler,
  __in  PVECTORED_EXCEPTION_HANDLER VectoredHandler
);

IA-32处理器定义了8个调试寄存器(DR0-DR7) DR0-DR3用于指点内存地址或I/O地址 DR4-DR5保留,DR6事件发生报告详细信息,DR7定义中断条件。
硬件断点HOOK是结合DR0-DR3调试寄存器和Winows SEH或VEH机制所引入的HOOK机制,因不涉及修改代码,不易检验检测到。

 

//测试EXE
#include <stdio.h>
#include <Windows.h>
#include <vector>

typedef LONG  (WINAPI *PVECTOREDEXCEPTIONHANDLER)(PEXCEPTION_POINTERS ExceptionInfo);

typedef PVOID (WINAPI *ADDVECTOREEXCEPTIONHANDLER)(
    ULONG FirstHandler,
    PVECTOREDEXCEPTIONHANDLER VectoredHandler
);

typedef struct _VECTORED_EXCEPTION_NODE {
LIST_ENTRY ListEntry;
PVECTORED_EXCEPTION_HANDLER pfnHandler; // 该指针出于安全目的已经被加密
} VECTORED_EXCEPTION_NODE, *PVECTORED_EXCEPTION_NODE;

LONG CALLBACK VectoredHandlerinit1(struct _EXCEPTION_POINTERS *ExceptionInfo)
{
    return EXCEPTION_CONTINUE_SEARCH;
}
LONG CALLBACK VectoredHandlerinit2(struct _EXCEPTION_POINTERS *ExceptionInfo)
{
    return EXCEPTION_CONTINUE_SEARCH;
}
LONG CALLBACK VectoredHandlerinit3(struct _EXCEPTION_POINTERS *ExceptionInfo)
{
    return EXCEPTION_CONTINUE_SEARCH;
}


LONG CALLBACK VectoredHandler(__in  PEXCEPTION_POINTERS ExceptionInfo)
{
	ExceptionInfo;
	return EXCEPTION_CONTINUE_EXECUTION;
}

int CheckVEHHook(std::vector<PVOID>& vecVEH, bool bcache, bool bdelete = false)
{
	PVOID pExceptionHandler = NULL;
	PVECTORED_EXCEPTION_NODE pCurrent = NULL;
	PVECTORED_EXCEPTION_NODE pNext = NULL, pDel = NULL;
	pCurrent = (PVECTORED_EXCEPTION_NODE)AddVectoredExceptionHandler(0,VectoredHandler);
	if( pCurrent == NULL )
	{
		printf("AddVectoredExceptionHandler111 failed.\n");
		return 0;
	}
	pNext = (PVECTORED_EXCEPTION_NODE)pCurrent->ListEntry.Blink;
	//pNext = (PVECTORED_EXCEPTION_NODE)pNext->ListEntry.Flink;
	printf("fake addr:0x%.8x pfnHandler:0x%.8x VEH function.\n",
		pCurrent, DecodePointer(pCurrent->pfnHandler));
	for( ; pNext != pCurrent; )
	{
		pExceptionHandler = DecodePointer(pNext->pfnHandler);
		if( pExceptionHandler )
		{
			if( bcache )
			{
				vecVEH.push_back(pNext);
			}
			printf("found addr:0x%.8x pfnHandler:0x%.8x VEH function.\n",pNext,pExceptionHandler);
			pNext = (PVECTORED_EXCEPTION_NODE)pNext->ListEntry.Blink;
			if( bdelete )
			{
				std::vector<PVOID>::iterator findit = find(vecVEH.begin(),vecVEH.end(),pNext);
				if( findit == vecVEH.end() )
				{
					pDel = pNext;
					pNext = (PVECTORED_EXCEPTION_NODE)pNext->ListEntry.Blink;
					printf("#### addr:0x%.8x pfnHandler:0x%.8x VEH function is illegal.\n",pDel,pExceptionHandler);
					if( RemoveVectoredExceptionHandler(pDel) )
					{
						printf("####the 0x%.8x is deleted.\n",pDel);
					}
					else
					{
						printf("####delete failed.\n");
					}
					break;
				}
			}
		}
	}
	if( RemoveVectoredExceptionHandler(pCurrent) )
	{
		printf("the fake node 0x%.8x is deleted.\n",pCurrent);
	}
	else
	{
		printf("delete failed.\n");
	}
	return 0;
}
DWORD func_addr = 0, func_addr_offset = 0;
void __declspec(naked) ReturnOriginalFunc(void) {  
    __asm {  
        mov edi,edi  
        //push ebp      way 222  
        jmp [func_addr_offset]  
    }  
}  

LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS ExceptionInfo) {  
    if(ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP) { 
		func_addr = (DWORD)GetProcAddress(GetModuleHandle("user32.dll"), "MessageBoxA");
		func_addr_offset = func_addr + 0x2;
		printf("***catch some exception, don't know who hook that.\n");
        if((DWORD)ExceptionInfo->ExceptionRecord->ExceptionAddress == func_addr) {  
        //if((DWORD)ExceptionInfo->ExceptionRecord->ExceptionAddress == func_addr+2) {    way 222  
            PCONTEXT debug_context = ExceptionInfo->ContextRecord;  
            printf("only blind cat meet mouse !\n");  
 
            debug_context->Eip = (DWORD)&ReturnOriginalFunc;  
            return EXCEPTION_CONTINUE_EXECUTION;  
        }  
    }  
   return EXCEPTION_CONTINUE_SEARCH;  
}  


void main()
{
	SetUnhandledExceptionFilter(ExceptionFilter);
	//事先加3个进去
	AddVectoredExceptionHandler(1,VectoredHandlerinit1);
    AddVectoredExceptionHandler(0,VectoredHandlerinit2);
    AddVectoredExceptionHandler(1,VectoredHandlerinit3);

	MessageBox(NULL,"the fact infor111","test SEH hook",MB_OK);

	std::vector<PVOID> vecVEH;
	printf("-----------------before LoadLibraryA.----------------\n");
	CheckVEHHook(vecVEH,true,false);

	::LoadLibraryA("WaiGua.dll");
	printf("-----------------after LoadLibraryA.----------------\n");
	CheckVEHHook(vecVEH,false,false);
	MessageBox(NULL,"the fact infor222","test SEH hook",MB_OK);

	printf("-----------------delete LoadLibraryA added veh.-----\n");
	CheckVEHHook(vecVEH,false,true);

	MessageBox(NULL,"the fact infor333","test SEH hook",MB_OK);
	//如果用下面的,是字面值需要VirtualProtect,并且和第2个MessageBox指向同一地址,则弹出内容还是被改变的。
	//MessageBox(NULL,"the fact infor222","test SEH hook",MB_OK);
	getchar();
}


 

//VEH hook dll.
// VEHHook.cpp : Defines the entry point for the DLL application.
//
#include <Windows.h>
#include <TlHelp32.h>
#include <stdio.h>
#include <limits.h>
#include <Winbase.h>

typedef HANDLE (WINAPI *OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); 
 OPENTHREAD g_lpfnOpenThread = NULL; 

 typedef LONG  (WINAPI *PVECTOREDEXCEPTIONHANDLER)(PEXCEPTION_POINTERS ExceptionInfo);

typedef PVOID (WINAPI *ADDVECTOREEXCEPTIONHANDLER)(
    ULONG FirstHandler,
    PVECTOREDEXCEPTIONHANDLER VectoredHandler
);
ADDVECTOREEXCEPTIONHANDLER g_AddVectorExceptionHandler = NULL;

DWORD func_addr = 0x00401000;
DWORD func_addr_offset = func_addr + 0x2;

void PrintParameters(PCONTEXT debug_context) 
{
    printf("EAX: %X EBX: %X ECX: %X EDX: %X\n",
        debug_context->Eax, debug_context->Ebx, debug_context->Ecx, debug_context->Edx);

    printf("ESP: %X EBP: %X\n",
        debug_context->Esp, debug_context->Ebp);

    printf("ESI: %X EDI: %X\n",
        debug_context->Esi, debug_context->Edi);

    printf("Parameters\n"
        "HWND: %X\n"
        "text: %s\n"
        "caption: %s\n",
        (HWND)(*(DWORD*)(debug_context->Esp + 0x4)),
        (char*)(*(DWORD*)(debug_context->Esp + 0x8)),
        (char*)(*(DWORD*)(debug_context->Esp + 0xC)));
    
}

void ChangeText(PCONTEXT debug_context) {
    char* text = (char*)(*(DWORD*)(debug_context->Esp + 0x8));
    int length = strlen(text);
	DWORD oldprotect = 0;
	VirtualProtect(text,length,PAGE_EXECUTE_READWRITE,&oldprotect);
    _snprintf(text, length, "Be Hooked!");
	VirtualProtect(text,length,oldprotect,&oldprotect);
}

void __declspec(naked) ReturnOriginalFunc(void) {
    __asm {
        mov edi,edi
        jmp [func_addr_offset]
    }
}

LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS ExceptionInfo) {
    if(ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP) {
        if((DWORD)ExceptionInfo->ExceptionRecord->ExceptionAddress == func_addr) {
            PCONTEXT debug_context = ExceptionInfo->ContextRecord;
            printf("Breakpoint hit!\n");
            PrintParameters(debug_context);
            ChangeText(debug_context);
            debug_context->Eip = (DWORD)&ReturnOriginalFunc;
            return EXCEPTION_CONTINUE_EXECUTION;
        }
    }
    return EXCEPTION_CONTINUE_SEARCH;
}

void VEHHook(void) 
{
    HANDLE hTool32 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
    if(hTool32 != INVALID_HANDLE_VALUE) 
	{
        THREADENTRY32 thread_entry32;
        thread_entry32.dwSize = sizeof(THREADENTRY32);
        FILETIME exit_time, kernel_time, user_time;
        FILETIME creation_time;
        FILETIME prev_creation_time;
        prev_creation_time.dwLowDateTime = 0xFFFFFFFF;
        prev_creation_time.dwHighDateTime = INT_MAX;
        HANDLE hMainThread = NULL;
        if(Thread32First(hTool32, &thread_entry32)) 
		{
	
            do { //取最早启动的线程作为hook对象
               
				if(thread_entry32.dwSize >= FIELD_OFFSET(THREADENTRY32, th32OwnerProcessID) + sizeof(thread_entry32.th32OwnerProcessID)
                    && thread_entry32.th32OwnerProcessID == GetCurrentProcessId()
                    /*&& thread_entry32.th32ThreadID != GetCurrentThreadId()*/)
				{
					HANDLE hThread = g_lpfnOpenThread(THREAD_SET_CONTEXT | THREAD_GET_CONTEXT | THREAD_QUERY_INFORMATION,
														FALSE, thread_entry32.th32ThreadID); 
					GetThreadTimes(hThread, &creation_time, &exit_time, &kernel_time, &user_time);
					
					if(CompareFileTime(&creation_time, &prev_creation_time) == -1) 
					{
							//creation_time 小于 prev_creation_time时候为-1
                            memcpy(&prev_creation_time, &creation_time, sizeof(FILETIME));
                            if(hMainThread != NULL)
                                CloseHandle(hMainThread);
                            hMainThread = hThread;
                    }
                    else
                           CloseHandle(hThread);


                }
                thread_entry32.dwSize = sizeof(THREADENTRY32);
            } while(Thread32Next(hTool32, &thread_entry32));

            //(void)SetUnhandledExceptionFilter(ExceptionFilter);
			g_AddVectorExceptionHandler(1, ExceptionFilter);
            CONTEXT thread_context = {CONTEXT_DEBUG_REGISTERS};
            thread_context.Dr0 = func_addr;
            thread_context.Dr7 = (1 << 0);

            SetThreadContext(hMainThread, &thread_context);
            CloseHandle(hMainThread);
        }
        CloseHandle(hTool32);
    }
}

int APIENTRY DllMain(HMODULE hModule, DWORD reason, LPVOID reserved) 
{
    if(reason == DLL_PROCESS_ATTACH) 
	{
        DisableThreadLibraryCalls(hModule);
        if(AllocConsole()) 
		{
            freopen("CONOUT$", "w", stdout);
            SetConsoleTitle("Console");
            SetConsoleTextAttribute(GetStdHandle(STD_OUTPUT_HANDLE), FOREGROUND_RED | FOREGROUND_GREEN | FOREGROUND_BLUE);
            printf("DLL loaded.\n");
        }

		HMODULE hDll = ::LoadLibrary("kernel32.dll");
		g_lpfnOpenThread =  (OPENTHREAD)::GetProcAddress(hDll, "OpenThread"); 
		func_addr = (DWORD)GetProcAddress(GetModuleHandle("user32.dll"), "MessageBoxA");
		func_addr_offset = func_addr+2;
		printf("MessageBoxA Addr: 0x%x\n",func_addr);
		g_AddVectorExceptionHandler = (ADDVECTOREEXCEPTIONHANDLER)GetProcAddress(GetModuleHandle("kernel32.dll"), "AddVectoredExceptionHandler");
        VEHHook();
    }
    return TRUE;
}


pomelozero
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于VEH&调试寄存器实现无痕HOOK(5)
m0_64973256的博客
12-30 2512
Windows操作系统中存在多种异常处理,我们现在需要的是其中的VEH
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API大牛就别来吐槽了 只在XP WIN7 X32 下测试通过
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl。Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 。代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 。- -转来的哦。只在XP WIN7 X32 下测试通过。@659656hkl。
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点不检测 兼容各大游戏保护各系统
天堂W游戏内核驱动保护简单分析(四)
最新发布
jian274622701的博客
05-18 936
Mutex(内核引用为2的, CreateMutex, 对象本身与进程相关,名字随机,没有空格,且看不出任何意义),Apc或者NtCreateThread()或者NtResumeThread()来注入(启动进程就注入, 时机早)系统中的某个调试器调试进程时,会创建1个调试对象类型的内核对象。6. CreateFileMappingA() 和 GetLastError() = 0xB7(183) 共享内存。1. 应用层重载 Immemset(NewDll, 0, sizeof(NewDll))
VEH HOOK
Doub1's Blog
04-10 1847
相关函数 我们只需要用到 AddVectoredExceptionHandler 设置VEH异常捕获 PVOID WINAPI AddVectoredExceptionHandler( _In_ ULONG FirstHandler, _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler ); U...
VEH软件断点和硬件断点Hook管理
qq_40363731的博客
03-27 373
【代码】VEH软件断点和硬件断点Hook管理。
VEH+硬件断点实现无痕HOOK
鬼手的博客
09-24 8969
文章目录hook的分类硬件断点hook原理设置硬件断点注册VEH代码实现VEH无痕Hook说说一路踩过的坑实际效果小结关于veh hook的对抗参考文章参考文章 hook的分类 hook方式有多种,这里做了一个系统性的总结对比,如下: 实际上第二种和第三种属于同一类型的hook,都是利用异常处理函数来处理,只是触发异常的方式不同 硬件断点hook原理 想要实现硬件断点hook,需要实现下面几个步骤 设置硬件断点 注册veh异常处理函数 编写异常处理函数,实现自己的hook代码 设置硬件断点 首先来说一
VEH hook
weixin_50217210的博客
10-16 233
终止当前程序的执行-->调试器(进程必须被调试,向调试器发送EXCEPTION_DEBUG_EVENT消息)-->执行VEH-->执行SEH-->TopLevelEH(进程调试时不会被执行)-->执行VEH-->交给调试器(上面的异常处理都说处理不了,就再次交给调试器)-->调用异常端口通知csrss.exe。思路就是不断改变某一块内存属性,当执行命令或者某些操作的时候,执行的内存属性是可执行的,当功能模块进入睡眠的时候将内存属性改为不可执行。然后就是注册异常函数,这个异常函数就是为了恢复可执行内存属性。
e语言-利用硬断 VEH实现APIHOOK
08-23
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦只在XP WIN7 X32 下测试通过
易语言-利用硬断+VEH实现APIHOOK
06-25
所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API 大牛就...
2.VT调试器之无限硬件断点.rar
10-20
与软件断点相比,硬件断点不涉及指令的修改,因此更不易被反调试技术检测到,也更稳定。 VT调试器的一大优势就是提供了无限硬件断点。在大多数传统调试器中,由于硬件资源限制,通常只能设置有限数量的硬件断点...
D3D8劫持,跟下硬件断点调试异常可以过CRC校验哦..
06-12
CRC(Cyclic Redundancy Check)校验是一种广泛使用的错误检测方法,它通过计算数据的校验和来判断数据在传输或存储过程中是否发生错误。在游戏反作弊系统或者保护机制中,CRC校验通常用于验证程序代码或资源的完整...
代码实战硬件断点hook
01-18 1066
代码实战硬件断点hook
【Windows系统编程】08.异常处理与异常Hook(软件断点Hook,硬件断点Hook
WdIg-2023的博客
08-19 670
异常处理,断点寄存器讲解,软件断点Hook,硬件断点Hook
各种HOOK方式和检测对抗方法
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截发包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
无痕HOOK方式=硬断+VEH
热门推荐
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
易语言无痕hook veh
01-12
易语言是一种编程语言,可以用来开发各种应用程序。无痕hook是一种技术,用于修改和篡改程序执行流程,而不留下明显的痕迹。在易语言中,也可以实现无痕hook技术。 无痕hook在很多场景中有着广泛的应用,如软件安全性评估、逆向工程等。一般来说,hook技术可以通过修改程序的代码或者数据来实现。在易语言中实现无痕hook主要分为两个步骤:寻找被hook的函数地址和修改函数地址。 易语言提供了一些内置函数和接口,可以帮助我们实现无痕hook。例如,可以使用API函数GetModuleHandle获取指定模块的句柄,再使用API函数GetProcAddress获取指定函数的地址。通过修改函数地址,我们可以实现对函数执行流的修改,进而实现无痕hook。 在易语言中,使用无痕hook技术需要谨慎操作,防止程序出错或者造成安全漏洞。同时,还需要遵循相关法律法规,不进行非法的逆向工程或者破解行为。 总结来说,易语言可以实现无痕hook技术,通过寻找被hook的函数地址和修改函数地址,可以实现对程序执行流的修改,从而实现无痕hook。但是在实际应用中,需要谨慎操作并遵守相关法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值