【2021.01.16】HOOK攻防、瞬时(临时)HOOK

最新推荐文章于 2023-06-18 11:30:16 发布
最新推荐文章于 2023-06-18 11:30:16 发布
阅读量662 收藏 3
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/112712843
版权

常用手段

  • 阶段一
  1. 防守:检测JMP(E9)、检测跳转范围。
  2. 攻击:想方设法绕开。
  • 阶段二
  1. 防守:线程全代码校验/CRC校验。
  2. 攻击:修改检测代码、挂起检测线程。
  • 阶段三
  1. A->B->C->D->被 HOOK 函数
  2. 防守:相关API进行全代码校验,多个线程互相检测,并检测线程是否活动。
  3. 攻击:使用瞬时(临时)钩子/硬件钩子。

解决方案

  1. 对 VirtualProtect 进行 HOOK,只有当调用地址为 A 时,对 ExitProcess 进行挂钩,并修正返回结果,改变执行流程。
  2. 在 ExitProcess 的 HOOK 处理函数中判断,只有当调用地址为 B 的时候,才将 ExitProcess 函数进行失效,然后卸载 HOOK。
oalken
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈hook攻防
hongduilanjun的博客
05-09 2894
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息
对QQ密码框的防盗机制的探索
pzlvv的专栏
02-05 1689
 在半年前的暑假,刚刚接触到了Hook,就想试试用Hook能不能获取到QQ的密码,但是得到的是一堆乱码,所以也就没再继续了,因为当时我只是只菜鸟;半年后,我成了大一点的菜鸟,但我又来挑战QQ的密码框,因为我知道我并不比TX 菜到哪里去,事实上,经过一阵子的摸索,发现TX的防盗确实很菜。首先重现一下当年的情形,用MFC写了个演示程序,初始化的时候装一个全局低级键盘钩子m_hHook = SetWindowsHookEx(WH_KEYBOARD_LL, LowLevelKeyboardProc, ::GetMo
欲知己之所防,先知彼之所攻——论Hook 技术的攻防对抗
顶象科技的技术文章
09-21 517
又名:不可逆加密算法。由图可知,目标App主要是有两部分组成,第一个是MainActivity主类,还有两个类中的方法,一个是onCreate方法,这是MainActivity初始化的一个方法,第二个就是getFlag方法,这个方法也就是我们的目标,通过Hook这个方法,我们可以得知代表flag的MD5值是什么。当然,在更深层面,我们也可以利用Hook技术将传统的Web攻击技术带入到移动端中,在移动端中进行攻防演练,补全作为红队的技能树,也可以针对Hook技术与攻击者进行对抗,保障自身的App安全。
Hook原理及例子
qq_15759313的博客
05-26 305
https://bbs.pediy.com/thread-228669.htm#hook%E5%8E%9F%E7%90%86
Hook检测
ChinaPrc
07-07 627
bool CheckHooks(const char* pszModule, const char* pszMethod, BYTE* pBytesToCheck, DWORD dwSize) { bool bOK = false; HANDLE hProcess = ::GetCurrentProcess(); HMODULE hModule = ::GetModuleHandle(pszModule); if (!hModule) return true; //The dll .
黑客爱用的 HOOK 技术
dzqxwzoe的博客
03-05 1247
上面几种 HOOK,修改的都是应用层的函数指针,而操作系统内核中还有一些非常重要的表格,它们的表项中记录了一些更加关键的函数,HOOK 这些表格中的函数是非常高危的操作,操作不当将导致操作系统崩溃。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。执行系统调用的时候,CPU 将从用户模式切换到内核模式,进入内核后,将会根据系统调用的 API 编号,去找到对应的系统服务函数,实现对应 API 的功能。
PCHOOK例子(pc3.9.10.19)
最新发布
06-20
hook版本3.9.10.19 仅供学习研究交流使用 禁止用于商业或者非法或用 hook版本3.9.10.19 仅供学习研究交流使用 禁止用于商业或者非法或用 hook版本3.9.10.19 仅供学习研究交流使用 禁止用于商业或者非法或用 hook...
微信2.8.0.121版本hook 源码
09-04
《微信2.8.0.121版本hook 源码详解》 在IT行业中,微信作为全球广泛使用的即时通讯工具,其内部机制和功能实现一直是开发者关注的重点。本篇将围绕“微信2.8.0.121版本hook源码”这一主题,深入探讨如何对微信进行...
deny_rename_exe.rar_api hook_asmhook.cpp_hook_hook 文件
09-23
标题中的"deny_rename_exe.rar_api hook_asmhook.cpp_hook_hook 文件"揭示了这是一个关于API钩子技术的示例,主要用于阻止用户更改扩展名为EXE的文件名。API钩子是一种技术,允许开发者监控或修改其他程序调用特定...
VB.Services.Advanced.module.hook.rar_VB hook
09-21
在VB(Visual Basic)编程环境中,"VB.Services.Advanced.module.hook.rar_VB hook" 提供了一种高级的模块化挂钩技术,这是针对程序或服务进行动态监控和控制的重要手段。挂钩(Hook)技术允许开发者截取并处理系统...
hook VirtualProtect And VirtualAlloc
01-19
hook VirtualProtect And VirtualAlloc
进程防杀hook openprocess[C]
06-01
进程防杀 hook openprocess hook openprocess
EasyHook-2.7.6270.0.zip_c# easy hook_easyhook_easyhook 2.7_eas
09-24
EasyHook是一款强大的、开源的.NET库,用于在托管代码中实现远程函数钩子(Remote Function Hooking)。在标题和描述中提到的"EasyHook-2.7.6270.0.zip"是一个包含EasyHook库版本2.7.6270.0的压缩包,适用于C#开发者...
黑客爱用的HOOK技术大揭秘!
2201_75362610的博客
06-18 1335
病毒木马为何惨遭杀软拦截?商业软件为何频遭免费破解?系统漏洞为何能被补丁修复?《什么是HOOK技术?上面是开个玩笑,言归正传,今天来聊的话题就是安全领域一个非常重要的技术:HOOK技术。HOOK,英文意思是“钩子”在计算机编程中,HOOK是一种「劫持」程序原有执行流程,添加额外处理逻辑的一种技术。按照这个定义,其实我们Python中的装饰器和Java中的注解,这种面向切面编程的手法在某种程度上来说,也算是HOOK
自己动手做QQ木马-----HOOK
fengzi_zhu的专栏
03-25 3315
自己动手写QQ木马-----HOOK篇     首先让我们来回顾一下Windows的消息分类。l        WM_XXX(除WM_COMMAND和WM_NOTIFY外)WINDOWS消息硬件的输入消息或USER模块的窗口管理消息,任何派生自CWnd的类均可接收此消息。l        WM_COMMAND命令消息凡由UI对象产生的消息,可能来自菜单或加速键(wParam
检测Hook和ROP攻击: 方法与实例
weixin_33724046的博客
06-01 1749
一、简介 有时候,我们的应用程序会遭受网络犯罪分子使用Hook或ROP攻击,所以必须找到有效的方法来保护它们。在本文中,我描述了一个案例:当一个局外人(第三方应用程序,恶意软件或逆向工程师)在我们的应用程序中拦截系统调用以更改其行为或监控其性能时,如何检测。 我还描述了针对以下攻击类型的两种保护方法: · Hook需要将第三方代码注入到目标应用程序中以更...
virtualProtect函数
weixin_34348111的博客
06-04 712
原文链接:https://blog.csdn.net/zacklin/article/details/7478118 结合逆向课件11 转载于:https://www.cnblogs.com/qy-blogs/p/9134114.html
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2153
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
Microsoft edge视频(广告)加速播放
热门推荐
qq_38882497的博客
12-02 1万+
1.搞油猴扩展 在扩展里面搜索Tampermonkey(油猴)并获取 2.添加新脚本 将代码全部替换为下面代码并CTRL+S保存 // ==UserScript== // @name 计时器掌控者|视频广告跳过|视频广告加速器 // @name:en TimerHooker // @name:zh-CN 计时器掌控者|视频广告跳过|视频广告加速器 // @namespace https://gitee.com/HGJing/everthing-hook/ // @versi
cov_layer.register_forward_hook
05-14
`cov_layer.register_forward_hook` 是一个 PyTorch 中的方法,它可以用来注册一个 forward hook(前向钩子),即在模型进行 forward(前向)计算时,在某个层的输出上执行一个自定义的操作。这个方法的语法如下: ```python handle = cov_layer.register_forward_hook(hook) ``` 其中,`cov_layer` 是要注册 forward hook 的层,`hook` 是一个函数,它将在 forward 计算时被调用。在 `hook` 函数中可以对该层的输出进行自定义的操作,例如记录输出的均值、方差等信息。 此方法返回一个 `handle` 对象,可以用来取消注册该 forward hook,方法如下: ```python handle.remove() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值