C++ Inline Hook 代码

最新推荐文章于 2022-11-10 17:27:31 发布
最新推荐文章于 2022-11-10 17:27:31 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 代码收藏 文章标签: 代码收藏 
#include <ntifs.h>
#include <ntddk.h>
#include <Ntstrsafe.h>
#include "ldasm.h"

#ifdef _WIN64
#define			HOOKLEN							15
#define			ProxyJmpCodeLength			15			
#else
#define			HOOKLEN							5
#define			ProxyJmpCodeLength			7			//sizeof(0xEA,0,0,0,0 0x08,0x00) = 7
#endif


PVOID JmpOldFunCodeAddr = NULL;
DWORD JmpCodeLength = 0;

//去掉页面保护
void  WPOFF(void)
{

#ifdef _WIN64

	_disable();
	DWORD64 cr0 = __readcr0();
	cr0 &= 0xfffffffffffeffff;
	__writecr0(cr0);
	//	_enable();

#else
	__asm
	{
		cli
		mov eax, cr0
		and eax, not 10000h
		mov cr0, eax
	}
#endif
}

//设置页面保护
void  WPON(void)
{
#ifdef _WIN64
	_disable();
	DWORD64 cr0 = __readcr0();
	cr0 |= 0x10000;
	__writecr0(cr0);
#else
	__asm
	{
		mov eax, cr0
		or eax, 10000h
		mov cr0, eax
		sti
	}
#endif
}

//HOOK
NTSTATUS FuncModify(PVOID FuncAddr, PVOID FuncNewAddr, PVOID *JmpCodeAddr, DWORD *JmpCodeLength)
{
	//定义变量
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	ULONG BackupLength = 0;
	UCHAR *cPtr, *pOpcode;
	ULONG Length;
	PVOID pJmpCodeBuf;


	//参数效验
	if (FuncAddr == NULL || FuncNewAddr == NULL || JmpCodeAddr==NULL || JmpCodeLength==NULL)return status;

	//搜索hook点
	for (cPtr = (UCHAR *)FuncAddr; cPtr < (UCHAR *)FuncAddr + PAGE_SIZE; cPtr += Length)
	{
		ldasm_data ld = { 0 };
		Length = ldasm(cPtr, &ld, 0);
		BackupLength += Length;
		if (BackupLength >= HOOKLEN) break;
	}

	if (BackupLength<HOOKLEN)
	{
		return status;
	}

	pJmpCodeBuf = ExAllocatePool(NonPagedPool, BackupLength + ProxyJmpCodeLength);
	if (pJmpCodeBuf == NULL)
	{
		return status;
	}
	RtlZeroMemory(pJmpCodeBuf, BackupLength + ProxyJmpCodeLength);

	///
	*JmpCodeAddr = pJmpCodeBuf;
	*JmpCodeLength = BackupLength;


	// 保存原始API的头部
	RtlMoveMemory(pJmpCodeBuf, FuncAddr, BackupLength);


	WPOFF();
	KIRQL irql = KeRaiseIrqlToDpcLevel();
	//JMP回原始函数的地址
#ifdef _WIN64

	UINT64 tmpv;
	UCHAR jmp_code[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";
	UCHAR jmp_code_orifunc[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

	//跳转到没被打补丁的那个字节
	tmpv = (ULONG64)FuncAddr + BackupLength;	
	memcpy(jmp_code_orifunc + 6, &tmpv, 8);
	memcpy((PUCHAR)pJmpCodeBuf + BackupLength, jmp_code_orifunc, 14);

	tmpv = (UINT64)FuncNewAddr;
	memcpy(jmp_code + 6, &tmpv, 8);
	RtlZeroMemory(FuncAddr, BackupLength);
	memcpy(FuncAddr, jmp_code, 14);


#else
	char jmp_code[ProxyJmpCodeLength] = { 0xEA, 0x00, 0x00, 0x00, 0x00, 0x08, 0x00 };
	*((PULONG_PTR)(jmp_code + 1)) = (ULONG_PTR)FuncAddr + BackupLength;
	RtlMoveMemory((VOID *)((ULONGLONG)pJmpCodeBuf + BackupLength), jmp_code, ProxyJmpCodeLength);

	//HOOK操作
	char nJmpCode[HOOKLEN] = { 0xE9, 0x00, 0x00, 0x00, 0x00 };
	*(DWORD*)(nJmpCode + 1) = (DWORD)FuncNewAddr - ((DWORD)FuncAddr + HOOKLEN);
	RtlZeroMemory(FuncAddr, BackupLength);
	RtlMoveMemory(FuncAddr, nJmpCode, BackupLength);
#endif
	KeLowerIrql(irql);
	WPON();

	return STATUS_SUCCESS;
}

//恢复hook
NTSTATUS FuncRestore(PVOID FuncAddr, PVOID pOriginalCode, DWORD Length)
{

	//参数效验
	if (MmIsAddressValid(FuncAddr) == FALSE)return STATUS_UNSUCCESSFUL;
	if (MmIsAddressValid(pOriginalCode) == FALSE)return STATUS_UNSUCCESSFUL;
	if (Length <= 0)return STATUS_UNSUCCESSFUL;


	WPOFF();
	KIRQL irql = KeRaiseIrqlToDpcLevel();

	RtlMoveMemory(FuncAddr, pOriginalCode, Length);

	KeLowerIrql(irql);
	WPON();
	return STATUS_SUCCESS;
}



typedef NTSTATUS(__fastcall *FnNtOpenProcess)(HANDLE ProcessId, PEPROCESS *Process);

NTSTATUS NewNtOpenProcess(PHANDLE    ProcessHandle, ACCESS_MASK   DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID   ClientId)
{
	if (ClientId->UniqueProcess==2216)
	{
		return STATUS_ACCESS_DENIED;
	}
	return  ((FnNtOpenProcess)JmpOldFunCodeAddr)(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);

}



VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{

	return;
}



NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	DriverObject->DriverUnload = DriverUnload;


	DbgBreakPoint();
	FuncModify(NtOpenProcess, NewNtOpenProcess, &JmpOldFunCodeAddr, &JmpCodeLength);
	FuncRestore(NtOpenProcess, JmpOldFunCodeAddr, JmpCodeLength);
	return STATUS_SUCCESS;
}

寒江孤叶丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C/C++:Windows编程—Inline Hook内联钩子(上)
重庆李四
06-10 4364
前言 先介绍下Windows中的Hook技术。Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。Windows中的Hook技术的方法较多,常见的有Inline Hook、IAT Hook、EAT Hook ...
Inline Hook
weixin_44711063的博客
03-11 2672
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hookinline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
InlineHOOK
九月飞雪的博客
01-03 4480
//inline hook 实际上就是指 通过改变目标函数头部的代码来使改变后的代码跳转至我们自己设置的一个函数里,产生hook. #include &lt;windows.h&gt; #include &lt;stdio.h&gt; //定义一个与MessageBoxA类型一致的函数指针。 typedef int (WINAPI * MessageBox_type)(HWND hWnd, ...
Windows下 WINAPI HOOK实现方法 及 C++源码
Kaller的博客
10-26 1509
C++代码 及Demo // APIHook.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include "string.h" #include "windows.h" using namespace std; struct StructAPIHook { string DLLName; string APIName; string DLLAnd...
C++实现inline hook的原理及应用实例
09-04
- **API版本验证**:首先,我们需要确定要hook的内核API的版本,确保我们的hook代码与目标函数的特征码匹配。 - **编写代理函数**:设计一个函数,它包含堆栈调整、遗失指令执行和信息过滤的逻辑。 - **获取代理...
Inline Hook(ring3)的简单C++实现方法
09-04
本文将详细探讨如何使用C++来实现一个简单的Inline Hook。 首先,我们需要理解Inline Hook的基本原理。Inline Hook通常涉及到以下步骤: 1. **找到目标函数的地址**:在这个例子中,我们的目标函数是`MessageBoxA`...
C++ ByPassHS Inline hook源代碼
01-25
C++ ByPassHS Inline Hook代码解析》 在计算机编程领域,Hook技术是一种常见的调试和功能增强手段,它允许开发者拦截和修改程序中的特定函数调用行为。本篇文章将详细探讨C++实现的BypassHS Inline Hook代码...
inline hook 源码
11-14
在提供的压缩包文件**cpp-stub-master**中,我们可以推测这可能是一个C++实现的inline hook库。这个库可能包含了针对不同平台和架构的适配代码,包括生成适当的stub代码、处理内存保护和跳转逻辑等。具体实现细节...
C/C++ x64 Inline Hook 代码封装
m0_46135508的博客
11-10 983
接着来研究一下64位程序的Hook,64位与32位系统之间无论从寻址方式,还是语法规则都与x32架构有着本质的不同,所以上面的使用技巧只适用于32位程序,注入32位进程使用,下面的内容则是64位下手动完成Hook挂钩的一些操作手法,由于64位编译器无法直接内嵌汇编代码,导致我们只能调用C库函数来实现Hook的中转.简单实现64位Hook去弹窗: 由于64位编译器无法直接内嵌汇编代码,所以在我们需要Hook时只能将跳转机器码以二进制字节方式写死在程序里,如下代码是一段简单的演示案例,主要实现了去弹窗的功能.
内存注入(IAT HookInline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
APIHookInlineHook库,使用C++11编写,可将回调函数绑定到类成员函数
11-29
APIHookInlineHook库,使用C++11编写,可将回调函数绑定到类成员函数。代码风格良好,适合学习。
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
Windows 64位和32位Inline Hook的例子。包括C语言代码,和封装好的C++类,绝对超值,超简单实用的例子,可以直接运行,用了绝对说好!
VC写的一个简单的InlineHook小例子
01-04
一个vc写的inlineHook MessageBox小例子,希望对大家有帮助。
C++源码-HookMessageBox.zip
05-24
这是C++的关于HookMassageBox的源码,可以作为平时练习的一个小项目
inline hook的原理及实现
Qiu233的博客
08-06 8228
网上没有找到多少关于inline hook的文章,感觉这方面资料不是很完整,所以决定自己写一份存档,重点讲述inline hook的实现。 inline hook的核心思想是:通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域,执行完毕跳转回到原来的函数,跳转到的指令区域通常是我们自己编写的函数。inline hook技术对于编写外挂和外挂式补丁意义重大。 步骤: 1.使用Vir
C/C++:Windows编程—Inline Hook内联钩子(下)
重庆李四
06-10 1673
前言 在上节中介绍了 InlineHook 钩子函数,主要是通过jmp 目标地址(转为机器码E9 偏移量) 来实现的,是修改被Hook函数首地址处的 5个字节的内容。这里再介绍另一种方法,修改被Hook函数首地址处的7字节的内容。我们看下图的汇编指令 之前是jmp 目标地址(5字节),这次是将目标地址放到 eax寄存器中 这里是2条汇编指令(00B417E4-00B417DF = 7字节)。他们...
inlineHOOK 函数
u011569253的博客
05-17 1281
最近在研究如何hook自己的函数。现在我们来讲一下hook函数的过程,首先要hook自己函数要找到自己函数的地址,之后找到不少于5个字节的硬编码地址替换成E9(JMP)跳转到我们制定的函数地址。我们制定的函数设置成裸函数,我们要保持进入我们定制函数前和后的寄存器和标志寄存器值不变和堆栈的平衡。同时我们要在函数里实现我们替换的代码。这样才能保持程序的正常执行。下面不多说了上代码讲解。int CInj...
二、C++反作弊对抗实战 (进阶篇 —— 7.函数钩子 inline Hook与对抗方法)
Koma的主页
03-04 565
提其实在前面的章节已经详细介绍过原理与实现方法,可以点击进入查看 https://blog.csdn.net/wangningyu/article/details/122926215 这里我们给出一个最简单的的方法即可轻易绕过这种inline hook。首先我们在dll函数中直接伪造一个bypass_MessageBoxW函数,并恢复被之前的机器码字节,再跳转至偏移5字节后的地址即可,实现代码如下
c++ 代码 inline hook 免杀defender
最新发布
06-12
在实现 inline hook 的过程中,可能会受到 Windows Defender 等杀毒软件的拦截,导致程序无法正常运行。为了免杀 inline hook,可以采用以下一些技巧: 1. 使用 DLL 注入技术。将 hook 代码放在一个独立的 DLL 中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值