导出表钩子之EAT HOOK解析

于 2019-07-06 14:26:21 发布 2510 收藏 4
分类专栏: 病毒技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/94836379
版权

EAT HOOK与IAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。但有一点值得注意的就是EAT HOOK只能对后面通过动态加载进来的API有效,对原本已经在IAT表中获取的API无法产生效果。

最简单的解释是exe进程大部分都没有导出表

详细的原因在于进程被加载到内存后PE Loader就逐个将导入表的IAT表中的各项从对应dll中获取并且硬编码地址,而进程调用API就是通过查询导入表中的IAT表中的硬编码API地址。这部分是EAT无法影响的因为在进程被加载到内存时就已经决定。

试想一下,EAT HOOK的时机时必须是进程启动后才能注入并影响对应DLL中的导出表。而IAT表早就已经在Loader加载时期就查询对应dll后被硬编码。在那时候EAT HOOK的动态库根本还没有被注入进来。所以只有当用户进行动态加载API时,才有机会。

讲一下大体思路。

1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出表的地址(注意这里是RVA要加上ImageBase才能得到VA,下面都是一样)。与导入表不同,导出表只有一张!

2. 遍历IMAGE_EXPORT_DESCRIPTOR.AddressOfNames(一共IMAGE_EXPORT_DESCRIPTOR.NumberOfNames个)找到被HOOK的API名称。记得与此同时要保存IMAGE_EXPORT_DESCRIPTOR.AddressOfNameOrdinals的值

3. 如果找到了API名称则把IMAGE_EXPORT_DESCRIPOTR.AddressOfFunctions[IMAGE_EXPORT_DESCRIPTOR.AddressOfNameOrdinals]即原函数的RVA地址替换成新函数地址。

#include <windows.h>
#include <cstdio>
#include <tchar.h>

BOOL EATHook(LPCTSTR szDllName, LPCTSTR szFunName, LPVOID NewFun) {
	DWORD addr = 0;
	DWORD index = 0;
	DWORD dwProtect;
	HMODULE hMod = LoadLibrary(szDllName);
	if (NULL == hMod)
		return(FALSE);
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hMod;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (PIMAGE_OPTIONAL_HEADER)((PBYTE)hMod + pDosHeader->e_lfanew + 24);
	PIMAGE_EXPORT_DIRECTORY pExpDes = (PIMAGE_EXPORT_DIRECTORY)((PBYTE)hMod + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
	PULONG pAddressOfFunctions = (PULONG)((PBYTE)hMod + pExpDes->AddressOfFunctions);
	PULONG pAddressOfNames = (PULONG)((PBYTE)hMod + pExpDes->AddressOfNames);
	PUSHORT pAddressOfNameOrdinals = (PUSHORT)((PBYTE)hMod + pExpDes->AddressOfNameOrdinals);

	for (int i = 0; i < pExpDes->NumberOfNames; ++i) {
		index = pAddressOfNameOrdinals[i];
		LPCTSTR pFuncName = (LPTSTR)((PBYTE)hMod + pAddressOfNames[i]);
		if (!_tcscmp((LPCTSTR)pFuncName, szFunName)) {
			addr = pAddressOfFunctions[index];
			break;
		}
	}
	VirtualProtect(&pAddressOfFunctions[index], 0x1000, PAGE_READWRITE, &dwProtect);
	pAddressOfFunctions[index] = (DWORD)NewFun - (DWORD)hMod;
	WriteProcessMemory(GetCurrentProcess(), &pAddressOfFunctions[index], (LPCVOID)((DWORD)NewFun - (DWORD)hMod), sizeof(NewFun), &dwProtect);

	return(TRUE);
}

int __stdcall MyMessageBox(
	HWND    hWnd,
	LPCTSTR lpText,
	LPCTSTR lpCaption,
	UINT    uType
) {
	_tprintf("Hello, world!\n");

	return(0);
}

typedef int (WINAPI* LPFNMESSAGEBOX)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType);

int _tmain() {
	EATHook("USER32.dll", "MessageBoxA", MyMessageBox);
	HMODULE hDll = GetModuleHandle("USER32.dll");
	LPFNMESSAGEBOX lpMessageBox = (LPFNMESSAGEBOX)GetProcAddress(hDll, "MessageBoxA");
	if (NULL == lpMessageBox)
		return(-1);
	lpMessageBox(NULL, "Hello, EAT Hook", "Info", MB_OK);

	return(0);
}

可以将EAT HOOK写成DLL并通过远程线程注入或者利用全局HOOK注入到目标进程中执行。

(完)

Kiopler
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
易语言IAT和EAT Hook例程纯源码
05-19
易语言IAT和EAT Hook例程纯源码
IAT HOOKEAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5455
导入hook原理是修改导入中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出hook原理跟导入相同,步骤也差别不大 但是二者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
HOOK挂钩技术
醉等佳人归
06-18 425
文章目录1.Address Hook1.1.PE的IAT1.2.PE的EAT1.3.PE的user32.dll的回调函数1.4.IDT1.5.SSDT和ShadowSSDT1.6.C++类的虚函数2.Inline Hook3.Hook位置 1.Address Hook 地址hook顾名思义,就是将原函数地址直接替换成hook函数地址 1.1.PE的IAT 因为IAT具体指某个PE模块的IAT,所以他的作用范围只针对被Hook的模块,且必须在以静态链接的方式调用API时才会被Hook,在使用LoadLib
C++ 使用 PolyHook 框架
LYSM
12-25 1452
PolyHook 源码下载地址(GitHub) PolyHook 使用介绍(Code Project) 首先下载 GitHub 上的源码到本地,编译一遍,我这里用的是 vs2019。编译完成后我们找到以下几个文件/文件夹: 之后我们新建一个工程(我的工程名叫 Test_Console),把 Capstone 文件夹放在项目根目录下: 在源目录下创建两个文件夹 Include、Import,分别...
逆向知识点
qq_42021840的博客
01-18 522
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
【原创】导出钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4159
看了combojiang大侠的rootkit专题,发现少了一个导出钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出钩子比导入钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
二、C++反作弊对抗实战 (进阶篇 —— 8.认始 EAT IAT HOOK)
Koma的主页
03-04 558
IAT与EAT HOOK示例
hook_导出eat
05-28 676
#include &lt;ntifs.h&gt; #include &lt;ntimage.h&gt; typedef VOID(__stdcall *KEATTACHPROCESS)(IN PRKPROCESS Process); KEATTACHPROCESS OldKeAttachProcess; UCHAR *PsGetProcessImageFileName(IN PEPROCESS ...
PE总结10---PE文件结构之导入 (IMAGE_IMPORT_DESCRIPTOR)
oBuYiSeng的博客
12-11 3806
1、导入基址是PE文件从其他三方程序中导入API,以供本程序调用的机制 2、是分析最好的切入点 IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色,引导系统找到真正保存有导入信息的其他两个结构:  IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_DESCRIPTOR {
android so文件hook,Android SO 加载分析与导入Hook导出Hook
weixin_42397739的博客
05-27 255
0x00 参考文章关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.csdn.net/d...
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
python学习之hook钩子的原理和使用
09-20
主要为大家详细介绍了python学习之hook钩子的原理和使用,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
解析WordPress中函数钩子hook的作用及基本用法
10-23
主要介绍了解析WordPress中函数钩子hook的作用及基本用法,hook是WordPress中调用函数的重要用法,也是插件开发的基础,需要的朋友可以参考下
drupal之hook_link和hook_link_alter钩子函数解析
09-28
主要为大家介绍了drupal中hook_link和hook_link_alter钩子函数,实例分析了钩子函数的具体用法,具有一定的参考借鉴价值,需要的朋友可以参考下
钩子ApiHook教程示例代码.zip
03-28
ApiHook教程示例代码.zip
Hook 学习
poet_lj的专栏
05-21 854
转自:http://www.cppblog.com/weiym/archive/2013/10/30/203991.aspx 在Window平台上开发任何稍微底层一点的东西,基本上都是Hook满天飞, 普通应用程序如此,安全软件更是如此, 这里简单记录一些常用的Hook技术。 SetWindowsHookEx 基本上做Windows开发都知道这个API, 它给我们提供了一个拦
Hook基本知识
weixin_30616969的博客
08-22 2062
一、什么是HOOK钩子) Windows系统,建立在事件驱动机制上,就是整个系统都是通过消息传递实现的。hook钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息等。钩子可以分...
Rootkit之HOOK小结
weixin_33729196的博客
05-19 169
目前接触的HOOK总结,学习HOOK只是为了让我对内核更加熟悉,我对那些毛的病毒木马没毛兴趣。 Windows平台上HOOK: 应用层HOOK:1.消息HOOK:局部钩子、全局钩子、全局低级键盘钩子之类2.IAT HOOK:通过修改IAT(导入)中的地址 过程就是先取DOS头,再取PE头偏移,再获取导入信息,其中的FirstThunk就是IAT偏移,再遍历,这样就找到了IAT3.EAT...
IAT Hook 原理分析与代码编写
LyShark
10-30 152
首先第一处浅红色部分就是导出的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入地址而后面的黄色部分则为导入的大小,继续向下第三处浅蓝色部分则为资源地址与大小,第四处棕色部分就是基址重定位的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT的地址,后面的黄色为IAT的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入的结束,我们以第1段红色部分为例,最后一个地址偏移。
python 代码中 什么是钩子 hook, 举个例子
最新发布
03-05
钩子(hook)是一种编程技术,它允许程序员在特定的事件发生时执行自定义代码。在 Python 中,钩子通常是通过回调函数实现的,例如在使用 Flask 框架时,可以使用 before_request 和 after_request 钩子来在请求处理前后执行特定的代码。另外,还有一些第三方库也提供了钩子机制,例如 PyInstaller 可以使用钩子来处理特定的模块或资源文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kiopler

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值