【2021.01.15】IAT HOOK

于 2021-01-15 20:23:14 发布
阅读量120 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/112685645
版权

IAT

IAT(Import Address Table),导入地址表。

#include <iostream>
#include <Windows.h>

DWORD g_dwIATHookFlag = FALSE;	        //HOOK状态 是否已经HOOK
DWORD g_dwOldAddr = NULL;		//保存原始函数的地址
DWORD g_dwNewAddr = NULL;		//保存HOOK函数的地址

BOOL SetIATHOOK(DWORD dwOldAddr, DWORD dwNewAddr)
{
	BOOL bFlag = FALSE;
	DWORD dwImageBase = NULL;
	PDWORD pFuncAddr = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_IMPORT_DESCRIPTOR pImportDescriptor = NULL;
	DWORD dwOldProtect = NULL;

	//取模块基址
	dwImageBase = (DWORD)::GetModuleHandle(NULL);
	pNtHeader = (PIMAGE_NT_HEADERS)(dwImageBase + ((PIMAGE_DOS_HEADER)dwImageBase)->e_lfanew);
	pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)(dwImageBase + pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

	//遍历IAT表 找到函数地址
	while (pImportDescriptor->FirstThunk != 0 && bFlag == FALSE)
	{
		pFuncAddr = (PDWORD)(dwImageBase + pImportDescriptor->FirstThunk);

		while (*pFuncAddr)
		{
			if (dwOldAddr == *pFuncAddr)
			{
				//如果找到要HOOK的函数, 先修改内存页的属性
				VirtualProtect(pFuncAddr, sizeof(DWORD), PAGE_READWRITE, &dwOldProtect);
				*pFuncAddr = dwNewAddr;

				//恢复内存页属性
				VirtualProtect(pFuncAddr, sizeof(DWORD), dwOldProtect, NULL);
				bFlag = TRUE;
				break;
			}
			pFuncAddr++;
		}
		pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImportDescriptor + sizeof(IMAGE_IMPORT_DESCRIPTOR));
	}
	//修改状态
	g_dwOldAddr = dwOldAddr;
	g_dwNewAddr = dwNewAddr;
	g_dwIATHookFlag = TRUE;

	return bFlag;
}

BOOL UnIATHOOK()
{
	BOOL bFlag = FALSE;
	DWORD dwImageBase = NULL;
	PDWORD pFuncAddr = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_IMPORT_DESCRIPTOR pImportDescriptor = NULL;
	DWORD dwOldProtect = NULL;

	//判断是否HOOK
	if (!g_dwIATHookFlag)
	{
		OutputDebugString(L"UnIATHOOK识别:尚未进行IAT HOOK!");
		return bFlag;
	}

	//取模块基址
	dwImageBase = (DWORD)::GetModuleHandle(NULL);
	pNtHeader = (PIMAGE_NT_HEADERS)(dwImageBase + ((PIMAGE_DOS_HEADER)dwImageBase)->e_lfanew);
	pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)(dwImageBase + pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

	//遍历IAT表 找到函数地址
	while (pImportDescriptor->FirstThunk != 0 && bFlag == FALSE)
	{
		pFuncAddr = (PDWORD)(dwImageBase + pImportDescriptor->FirstThunk);

		while (*pFuncAddr)
		{
			if (g_dwNewAddr == *pFuncAddr)
			{
				//如果找到要HOOK的函数, 先修改内存页的属性
				VirtualProtect(pFuncAddr, sizeof(DWORD), PAGE_READWRITE, &dwOldProtect);
				*pFuncAddr = g_dwOldAddr;

				//恢复内存页属性
				VirtualProtect(pFuncAddr, sizeof(DWORD), dwOldProtect, NULL);
				bFlag = TRUE;
				break;
			}
			pFuncAddr++;
		}
		pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImportDescriptor + sizeof(IMAGE_IMPORT_DESCRIPTOR));
	}
	//修改状态
	g_dwOldAddr = NULL;
	g_dwNewAddr = NULL;
	g_dwIATHookFlag = FALSE;

	return bFlag;
}

int WINAPI MyMessageBox(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
	char lpNewText[] = "修改后的内容";

	//定义MessageBox函数指针
	typedef int (WINAPI* PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT);

	//执行真正的函数
	int ret = ((PFNMESSAGEBOX)g_dwOldAddr)(hWnd, lpNewText, lpCaption, uType);

	return ret;
}

DWORD WINAPI ThreadProc(LPVOID lpParameter)
{
	//保存原始函数地址
	DWORD pOldFuncAddr = (DWORD)GetProcAddress(LoadLibraryA("user32.dll"), "MessageBoxA");

	//安装或卸载HOOK
	if (!g_dwIATHookFlag)
	{
		return SetIATHOOK(pOldFuncAddr, (DWORD)MyMessageBox);
	}
	else
	{
		return UnIATHOOK();
	}

	return FALSE;
}

int main()
{
	MessageBoxA(NULL, "This is lpText", "MSG", NULL);

	ThreadProc(NULL);

	MessageBoxA(NULL, "This is lpText", "MSG", NULL);

	std::cout << "按任意键继续..." << std::endl;

	std::cin.get();

	return 0;
}

 

oalken
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IAT_Hook.rar_hook
09-24
**IAT Hook技术详解** 在IT安全领域,尤其是逆向工程和软件调试中,IAT(Import Address Table)钩子是一种常见的技术手段。本篇将深入探讨IAT Hook的概念、工作原理及其应用。 **1. IAT是什么?** 在Windows操作...
通过添加新的节来感染PE文件
dasgk的专栏
08-26 1937
所谓感染PE文件,其实就是修改PE文件,在不改变其原有功能的基础上,添加我们自己的代码,在这里我们将PE文件看作是一般的文件,只是在修改时,要根据PE文件结构 来进行update,否则的话就会破坏原有程序。这里我们不再对PE文件结构进行解释说明,请读者自行百度哈      现在我们说下添加区段的一般步骤      一.修改PE文件头部信息,需要修改的有IMAGE_FILE_HEADER的Nu
PE文件常用数据目录遍历方法
weixin_30507269的博客
07-20 267
说明:AppendStrData(char *):向RichEdit添加字符串    AppendSectionData(char *,RGB):向RichEdit添加有颜色的字符串 导入表: void GetImportTable() { AppendSectionData("\n导入表:\r\n",RGB(00,0xBB,0)); if (pNtHeade...
保护篇-文件完整性检查
08-25 8313
在软件保护中,增加对自身的完整性检查,以防止解密者修改程序达到破解的目的。完整性检查又包括磁盘文件检查和内存映像的检查。完整性检查的实现原理是用散列函数计算文件的散列值,并将该值放在某处,以后文件每次运行时,重新计算文件的散列值,并与原散列值比较,以判断文件是否被修改。 1.磁
IAT HOOK
热门推荐
enjoy5512的博客
06-02 1万+
IAT Hook的实现
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题中的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
iat_hook.zip_Want It_iat hook
09-20
This is the project to hook import address table. It is very important to hook import address table. To do this can reverse something what you want. Thanks.
IAT.rar_IAT_iat 注入
09-21
IAT注入详解】 IAT(Import Address Table)注入是一种常见的Windows系统下的程序逆向工程技巧,用于在目标进程中动态修改或替换导入地址表,从而实现对程序行为的控制。这种技术广泛应用于恶意软件开发、软件...
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
2. **Hook_IAT.dll**:这是一个动态链接库文件,通常用于包含钩子函数,以便在运行时注入到其他进程。 3. **passwd.dsp**和**passwd.dsw**:这是Visual Studio项目文件,用于管理和构建C/C++项目。 4. **hooked_pass...
高温热流热线式风量变送器毕业设计.docx
07-06
本设计针对目前垃圾焚烧场、焚化炉中高温气体的流速监测中存在的问题而提出。热流热线式风速传感器是利用放置在流场中具有加热电流的热线式敏感元件的热量转移与空气的流速之间的对应关系求得空气流动速度。传感器采用恒温差控制电路模块,使金属丝的温度差保持不变,消除了由于环境温度的变化对测量精度的影响,扩大了应用范围。流体参数可谓工业过程、科学计量和进行各种经济核算所必须的重要参数,是能源计量的重要组成部分。流体参数的测量在工业生产和过程控制中占有重要地位,特别是在热电厂、石油、矿山、冶金、航空、机械、医疗器械等领域。由于流体性质、流动状态、流动条件以及感测机理的复杂性,造成了流体参数测量系统的多样性、专用性和价格差异的悬殊性。通过流体流速的测量,人们可以了解流动过程,并且根据流体的流动状态对生产工艺进行自动控制,进而实现能源的有效管理,从而保证产品的质量,提高生产效率,节约能源。 风速测量作为流速测量领域一个重要的部分,与人们的日常生产、生活密不可分。当今世界,风速、风量仪表更多的出现在工业生产、日常生活等领域,它 与国民经济、工业生产、科学研究和环境保护息息相关。随着工业自动化的飞速发展,人们对
IObitUninstaller-Pro-v13.6.0.2-Portable.exe
07-06
IObit Uninstaller是一款国外优秀的软件卸载工具,具有强制卸载、批量卸载、安装监视器、卸载Windows更新补丁、移除浏览器工具栏和插件、软件健康检查,文件粉碎功能。
淘晶池软件使用-实现类似日志的功能
07-05
文章中使用的工程
average.exe.1
07-05
average.exe.1
相关性的分析与技巧.txt
07-06
相关性分析
Apple Swift编程语言入门教程
07-05
Apple Swift编程语言入门教程
vb爬虫技术经验总结共八节
07-06
vb爬虫技术经验总结共八节 一、什么是爬虫 爬虫,简单来说,就是一个能够自动获取网页数据的程序。它模拟了人类在浏览器中的操作,通过发送请求、接收响应,并对返回的数据进行解析和提取,从而获取我们所需的信息。 例如,想象一下我们想要收集某个电商网站上所有商品的价格信息,或者获取某新闻网站上特定主题的文章标题和内容,这时候爬虫就派上用场了
harmonyos应用开发者高级认证.docx
07-06
HarmonyOS应用开发者高级认证是检验开发者是否具备HarmonyOS高级应用开发能力的重要标准。以下是对HarmonyOS应用开发者高级认证的详细解析: 一、认证概述 HarmonyOS应用开发者高级认证要求开发者掌握鸿蒙的核心概念和端云一体化开发、数据、网络、媒体、并发、分布式、多设备协同等关键技术能力,具备独立设计和开发鸿蒙应用能力。通过这一认证,开发者能够系统地提升自己在HarmonyOS应用开发领域的技能水平,为未来的职业发展打下坚实基础。 二、认证流程 注册与实名认证:首先,开发者需要在华为开发者官方网站注册账号并进行实名认证。这是获取认证资格的前提条件。 课程学习:认证前,开发者需要参加HarmonyOS应用开发者高级认证的培训课程。这些课程涵盖了HarmonyOS的核心概念、开发技术、分布式应用开发、UI设计等关键内容。开发者可以通过线上或线下的方式进行学习,确保自己掌握所需的知识和技能。 参加考试:完成课程学习后,开发者可以报名参加HarmonyOS应用开发者高级认证考试。考试内容主要涵盖所学课程的重点知识和技能,通过考试即可获得认证资格。
光能手机万能充电器设计.doc
最新发布
07-06
用TMS320F28027的DSP作为主控芯片,制作了一部太阳能充电和和逆变装置。设计主要采用了DC-DC变换器,推挽变换器,DC-AC变换器,通过算法寻找太阳能电池的最大功率点。 关键词:DSP、充电、buck电路、最大功率点跟踪、登山法
驱鸟稻草人设计说明书.docx
07-05
驱鸟稻草人设计说明书.docx
树莓派 ./iat_sample: Permission denied
09-23
PermissionError: [Errno 13] Permission denied:“1.MP3” 是一个错误信息,它表示你没有权限访问或操作名为“1.MP3”的文件。...根据这篇博客,你可以尝试修改文件权限或使用sudo命令来获取足够的权限来执行操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值