API钩取之代码修改原理

最新推荐文章于 2023-07-12 10:51:12 发布
最新推荐文章于 2023-07-12 10:51:12 发布
阅读量260 收藏 1
点赞数
分类专栏: 逆向工程 Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/114752402
版权

之前学习了IAT钩取技术, 现在总结代码修改方式进行API钩取的原理(ReverseCore33章).

先看看钩取之前的正常流程
在这里插入图片描述call 函数调用ntdll中的一个函数(函数名很长不用记, 把它当成一个抽象函数即可)
执行完之后就是retn 10返回调用位置的下一条指令

接下来看看修改代码之后的执行流程
在这里插入图片描述在这里插入图片描述

流程很复杂, 其实理解之后就很简单了(丘成桐说过, 只要理解之后就会发现所有数学都是简单的
书中严谨的表述因为使用了很长的函数名称, 所以看起来比较复杂, 跟着流程脑内模拟一遍, 就发现其实很直白. 现总结如下:

  1. dll注入进程修改API首地址指令为跳转到注入的dll的起始地址(钩取API)
  2. 程序调用被钩取的API时会跳到注入的dll起始地址执行特定代码, 然后执行unhook()操作恢复被钩取的API首地址指令
  3. call 钩取的API(此时已经恢复了原功能)执行预期的功能
  4. 执行完返回注入的dll中继续执行代码, 最后再hook()钩取API(目的是重复钩取)
  5. 最后RETN 10 返回调用被钩取的API的主程序流程(就像啥也没发生过, 默默插入了一段代码执行之后还不影响程序表现出来的功能)
代码修改钩取与IAT钩取的比较
  • IAT钩取只能钩取存在于IAT表的API
  • 代码修改可钩取进程中任意API
  • 一个原理上的限制: 代码修改要求API长度大于5字节(跳转指令长度), 但因为所有API长度都大于5字节所以实际并无此限制.
  • 进程的某线程如果读取正钩取的API(代码正被修改), 会触发非法访问错误.(不过存在解决办法)
fa1c4
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改exe PE格式中的IAT API钩子 通过修改IAT表实现 截获API调用,替换之.zip
01-19
修改PE格式中的IAT API钩子 通过修改IAT表实现 截获API调用,替换之.zip
修改IAT实现本进程API HOOK
leeeryan
06-08 1626
<br />//修改IAT实现本进程API HOOK //coded by xicao //QQ:327062448 //E-MAIL:xicao54007@sina.com #include <windows.h> #include <imagehlp.h>//ImageDirectoryEntryToData #pragma comment(lib,"imagehlp.lib") /******************************************************
《逆向工程核心原理》学习笔记(四):API钩取
闵行小鱼塘
05-20 2940
继续学习《逆向工程核心原理》,本篇笔记是第四部分:API钩取,主要介绍了调试钩取、DLL注入实现IAT钩取API代码修改钩取和全局API钩取等内容
API钩取
fa1c4的blog
03-09 153
钩取流程 反汇编/调试器理清程序结构和工作原理 开发钩子代码, 修改/改进程序功能 操作可执行文件和进程内存, 设置钩子 机制 对于Windows OS, 用户程序需要使用资源时, 需向内核申请使用API. 具体则是通过DLL文件一层层向下调用, 最后通过SYSENTER进入内核模式. 示意图(notepad.exe打开一个文件的过程) API钩取 完全技术图表(摘自ReverseCore29章) 位置分类 IAT 修改IAT地址为钩取函数地址 EAT 修改EAT地址为钩取函数地址 Code 从内
逆向工程核心原理读书笔记-API钩取之计算器显示中文数字
liujiayu2的专栏
06-09 1503
我们通过一个示例来练习向计算机进程插入用户的DLL文件,钩取负责向计算器显示文本的SetWindowTextW,使得计算器中显示中文数字而不是原来的阿拉伯数字。钩取前后的原理图如下所示。 下面我们先测试一下代码。 运行calc.exe并查看PID。 在命令行窗口中输入命令与参数。 在计算器中任意输入一些数字,发现变成了中文数字。 我们来分析
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
在本压缩包中,包含的文件主要是C++源代码及相关项目配置文件,用于实现一个APIHook钩子文件监控系统,该系统能够监控指定目录下的文件读写和修改操作。 1. **APIHook原理**: APIHook是通过拦截系统API调用来改变...
钩子ApiHook教程示例代码.zip
03-28
下面我们将深入探讨API钩子的工作原理、常见方法以及在示例代码中的应用。 API钩子主要分为以下几种类型: 1. **系统级钩子(System Hooks)**:这类钩子在系统范围内起作用,可以监听整个系统中的事件。它们通常...
ApiHook钩子进程内的api hook示例源代码.zip
03-28
总结起来,这个压缩包提供的源代码示例涵盖了API Hook的基本原理和实现方法,适用于学习如何在Windows环境下,特别是在MFC框架内,进行进程内的API Hook操作。通过理解和研究这些源代码,开发者可以深入理解API Hook...
制作API钩子截获API的例子.rar_API_delphi API_delphi 钩子_截获api_钩子
09-23
回调函数的原型应与被钩住的API相符,以便能够接收和处理相同的参数。 2. **安装钩子**:使用SetWindowsHookEx函数安装钩子。这个函数需要指定钩子类型(例如WH_CALLWNDPROC for message processing hooks)、钩子...
apihook钩子拦截API函数调用之消息框MessageBoxExA.zip
03-28
在IT领域,API钩子(apihook)是一种技术,它允许开发者拦截系统API...在案例"apihook钩子拦截API函数调用之消息框MessageBoxExA.zip"中,我们可以通过分析和运行提供的代码,深入了解API钩子的工作原理和实践方法。
逆向dll中的函数及通过函数api钩子获取dll中的全局或是const变量值
04-15
逆向dll中的函数及通过函数api钩子获取dll中的全局或是const变量值
通过修改代码挂接API
smfwuxiao的专栏
03-12 2675
如何挂接API 想要挂接API,有两种方法:1、修改代码方法 2、修改模块的输入节。对于第2种方法的详细讲解,请看《Windows核心编程》,Jeffery Ritcher讲得是最好的。不过比较复杂,需要了解 ImageHlp库函数,MSDN讲解得很少。 这里主要探讨第一种API挂接方式。 在X86 CPU下,原理即把API函数的头5个字节修改为一条JMP指令,
高级全局API钩取 - IE连接控制
weixin_30340617的博客
02-14 446
@author: dlive @date: 2017/02/14 0x01 调试IE进程 常见网络连接库:ws2_32.dll(套接字),wininet.dll,winhttp.dll 使用Process Explorer查看IE加载的DLL IE不仅加载了ws2_32.dll还加载了wininet.dll,wininet.dll中提供的API中有个名为InternetConnect()的API,...
逆向工程核心原理读书笔记-API钩取之隐藏进程(二)
liujiayu2的专栏
06-09 873
上一篇文章我们实现的隐藏进程如果重新打开任务管理器或者被隐藏的进程就没有隐藏的效果了。为了弥补这个问题,我们不仅需要钩取当前运行的所有进程,还要钩取将来运行的所有进程。由于所有的进程都是由父进程使用CreateProcess创建的,所以只要钩取父进程(通常是explorer.exe)的CreateProcess将dll注入所有子进程就可以实现了。要注意下面两个问题。 1.CreateProces
API钩取技术研究(一)—— IAT Hook
最新发布
m0_55220082的博客
07-12 702
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
API钩子(IAT修改方式)
weixin_33935777的博客
05-23 520
在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件的IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转。 一、原理 PE结构的模块(exe/dll/...),有一个IAT表,保存着该模块使用到的API函数的地址,在默认的隐式API调用时,会先跳转到该IAT...
API钩取技术
笔记本
11-13 1438
DLL注入说完了下一章介绍了API钩取技术,这个技术运用范围更加广泛基本木马病毒都会用到这个。整理下这3天看的api hook相关方式。 1.调试器法:使用DebugActiveProcess函数以调试模式附加到相关进程,获取进程控制权。等待调试者发生时间,并在发生相关函数调用事件时调用处理函数。给api开始地址写上0xcc(int 3)断点,断下之后获取进程上下文,获取寄存器的值,在内存中跟随...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值