HOOK api ret address

最新推荐文章于 2024-05-01 00:57:14 发布
最新推荐文章于 2024-05-01 00:57:14 发布
阅读量512 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/45311905
版权


include 'win32ax.inc'

use32

entry start

section '.text' code readable executable

start:

invoke loadlib,dll

invoke  getfunc,eax,   fuc

mov dword [funcaddress],eax

invoke VirtualProtect,dword [funcaddress],100,PAGE_EXECUTE_READWRITE,fuck

mov edi,dword [funcaddress]

sub edi,0x1

loop_sreach:

add edi,0x4

cmp dword[edi],0x90909090

jnz  loop_sreach

sub edi,0x3;here is ret xx

mov byte [edi],0xE9

mov eax,check

sub eax,edi

sub eax,0x5

mov dword [edi+0x1], eax

push NULL

push NULL

push NULL

push NULL

call dword [funcaddress]

invoke exit,NULL


check:

mov dword [esp+4],0x0

ret



section '.data' data writeable readable

retaddress dd 00

dll db "USER32.DLL",0

fuc db "MessageBoxA",0

fuck dd 00

funcaddress dd 00

section '.idata' import data readable

library kernel,'KERNEL32.DLL'

import kernel,exit,'ExitProcess',\

        loadlib,'LoadLibraryA',\

        getfunc,'GetProcAddress',\

VirtualProtect,'VirtualProtect'

qq_18942885
关注
一个关于push ret HOOK的问题随记一下。
创造神话,实现梦想!
02-11 2602
在学习内核HOOK的问题,发现自已的基础就是XX,记录一下! 曾经的问题: //加入pushad 及popad 这样会不会影响到JMP地址各个寄存器, //因为以上代码和JMP到的地址代码为同一个函数。会吗? //以上汇编代码处理后蓝屏,应该是堆栈不平问题。 问题:如何保证破坏后堆栈平衡?   //正常 lkd> u ObCheckObjectAccess l10 nt!ObCh
Fasm---Win32汇编学习3
xyblack技术地带
04-25 1823
Fasm---Win32汇编学习3                                         第三课-完整的界面   在今天这节课程中,我们来写一个Windows的界面。 理论:    Windows程序中,在写图形界面时需要调用大量的标准 Windows GUI函数。其实这对于程序员和用户都是好事。对于用户,面对的是同一套标准的窗口,对这些窗口的操
C++ 用户层下的用Push+Ret API HOOK
clubthree的专栏
03-19 1137
说道API HOOK ,这已经是老掉牙的技术了,但是它的实用性却是不能忽视的。虽然在网上这类的文章很多,但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行,但是不通用,因为一些特殊函数的前5字节不是完整的,如果直接修改,就会截断指令,导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子,感觉想法很好,于是自己也写了一个。其中用到了一个头文件LDas
hook api (push xxxx/retn)
fanpeii的专栏
02-01 801
hook api (push xxxx/retn)
git pre-push hook
weixin_30721899的博客
04-24 589
This article introduces git pre-pushhook. Problem InLeanproject, we use amodified versionofGoogle’s C++ style checker. I want toautomaticallyrun the checker over the changed filesbeforeI p...
一个win32下的api hook方案
FreeWave's space
09-04 925
api hook还是挺常用的, 成熟的方案有微软自己的,  支持32位Detours。  还有支持32位、64位的开源库MHook。     按照MHookapi, 自己仿造了一个简化的, 用作学习。   只支持32位的, 要改成64位的话, 要对shellcode进行改写。 思路: 改写函数前面的机器码, 跳转到自己的函数。 要调用原函数时, 先写回原来函数的机器码, 再调用原函数, 调用
vc++HOOK API黑客外挂编程必知必会
尹成的技术博客
04-14 1万+
 #include // 定义API挂接项结构typedef struct _HOOK_ITEM { DWORD dwAddr ;   // IAT项所在地址 DWORD dwOldValue ;  // IAT项的原始函数地址 DWORD dwNewValue ;  // IAT项的新函数地址} HOOK_ITEM, *PHOOK_ITEM ;HOOK_ITEM HookItem = {0}
Windows Hook经验总结之一:API Hook方法汇总
ITer之家
11-17 5255
HOOK的目的是用我们自己的代码取代一些函数的代码以改变程序的行为。 静态HOOK:在进程运行前挂钩,采用用户级进程即可完成。比如:有些程序会在启动时需要原光盘,如果我们修改获取驱动类型的函数则可以从硬盘启动。 动态HOOK:挂钩系统进程(如服务)时要动态挂钩 本文介绍常见的hook方法和实现机制。
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4707
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
2024年最全Linux 内核模块API之__module_address_linux内核增加api(2)
最新发布
时间与思念
05-01 730
主要介绍内核模块API__module_address的使用以及源码解析,以及其它一些类似的模块函数。该函数用来判断一个地址是否属于内核模块中的地址,在安全领域中该函数可以用来检测一些内核关键函数是否被hook
Ret 函数返回地址
weixin_30636089的博客
08-23 928
转载于:https://www.cnblogs.com/huangyong9527/archive/2012/08/23/2652733.html
定位免杀NOD32的一些经验
zhdd1234的专栏
10-08 4751
----collect dying site:http://www.idying.cn欢迎大家一起讨论先说下定位方法:1  NOD32不能正向定位的,定位出来也是不能修改的!针对nod32应该选择反向定位,开始位置为400填充不一定是90 可以使任意的 现在填90有时候被干扰的2 使用排除法收集下目前免杀过NOD32的方法源码:1源码免杀的另类方法函数的延迟加载例:
64位下的InlineHook
weixin_30684743的博客
08-11 1996
目录 x64下手工HOOK的方法 一丶HOOK的几种方法之远跳 1. 远跳 不影响寄存器 + 15字节方法 2.远跳 影响寄存器 + 12字节方法 3.影响寄存器,恢复寄存器 进行跳转. 4. 常用 jmp + rip方式跳转 大小6个字节 ...
驱动 进程回调中修改导入表插入DLL (只做了一点儿修正不算原创)
落笔飞花笑百生的博客
04-27 888
 //虽然现在对很多程序的注入都一点儿问题 ,不过一般的程序还是能注入的 最好建议使用zwCreateThreadEX来注入 好处你懂的= =我修正了判断EXE名字 因为 直接用PsGetImageFileNmae 会获取名字不完整因为某结构中只保存了16 char的 内容 不同系统 还不一样= = 所有就用这个 还有就是 卸载驱动会蓝屏= =因为 系统在回调数组中找到了指向我们这里回调函数
汇编,永远的王者.fasm.
个人进步之路
09-07 415
; example of simplified Windows programming using complex macro features include 'win32ax.inc' ; you can simply switch between win32ax, win32wx, win64ax and win64wx here .code 开始: invok...
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
mockcpp的ApiHook实现原理
weixin_33889245的博客
11-25 565
相关汇编知识call 指令        它会自动进行ret addr的压栈。 ret n 指令        它会自动退栈,用于stdcall的时候。(与默认的cdecl相比,不用每个调用处都产生一条调整栈的指令add esp,n)        ret之后的n只能是立即数,不能是寄存器。 ret 指令(包括ret 和 ret n)       它会把栈顶的ret addr作为下一步要执行的位置...
使用IAT替换实现Hook API详解
本摘要将详细讨论如何通过替换Image Import Address Table (IAT) 中的函数地址来实现Hook API。 IAT是PE(Portable Executable)文件格式的一部分,它存储了程序依赖的外部DLL(动态链接库)中函数的地址。当程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值