复写IAT劫持程序执行流(计算器中显示中文数字)

最新推荐文章于 2022-05-18 14:20:42 发布
最新推荐文章于 2022-05-18 14:20:42 发布
阅读量700 收藏 2
点赞数
分类专栏: 逆向 dll注入 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/83869355
版权

结果:在计算器窗口中把本来应该显示的数字替换为中文
须知:计算器显示数据的时候需要调用user32.dll里面的SetWindowText() API
过程:在程序运行的时候会加载user32.dll到内存,这个时候会把IAT里面写入成函数的真正地址(具体见文章中图),这里自己写一个dll当dll被加载会修改user32.dll!SetWindowTextW对应的IAT值达到劫持程序执行流的目的。
注意:32位程序要编译成32位dll,64位同样

#include"windows.h"
LPVOID g_porgFunc = NULL;
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
	switch (fdwReason)
	{
	case DLL_PROCESS_ATTACH:
		g_porgFunc = GetProcAddress(GetModuleHandle(L"user32.dll"), "SetWindowTextW");
		//用hookiad.MySetWindowsText()钩取user32.SetWindowTextW()
		hook_iat("user32.dll", g_porgFunc, (PROC)MySetWindowTextW);
		break;
	case DLL_PROCESS_DETACH:
		//将calc.exe的IAT恢复原位
		hook_iat("user32.dll", (PROC)MySetWindowTextW, g_porgFunc);
		break;
	}
	return True;
}

首先获取要挂钩函数的地址,
然后把地址替换实现钩取和脱钩

然后需要一个转化函数,函数完成的过程:
1.把传入的参数进行转化
2.调用原本的参数

typedef BOOL(WINAPI *PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString);
//cal.exe的IAT被钩取之后当代码中调用user32.SetWindowText函数时会首先调用hookiat.MyWindowTextW函数
BOOL WINAPI MySetWindowTextW(HWND hWnd,LPWSTR lpString)
{
	wchar_t* pNum = L"零一二三四五六七八九";
	wchar_t temp[2] = { 0 };
	int i = 0, nLen = 0, nIndex = 0;

	nLen = wcslen(lpString);
	for (i = 0; i < nLen; i++)
	{
		//将数字转中文
		//lpString 是宽字符版本的字符串
		if (L'0' <= lpString[i] && lpString[i] <= L'9')
		{
			temp[0] = lpString[i];
			nIndex = _wtoi(temp);//读入的字符是宽字符
			lpString[i] = pNum[nIndex];
		}
	}//转化
	//调用user32.SetWindowTextW()API
	//修改lpString缓冲区的内容
	return ((PFSETWINDOWTEXTW)g_porgFunc)(hWnd, lpString);
}

当程序正常执行SetWindowsTextW()API的时候函数会被hook_iat函数劫持为调用MySetWindowTextW函数,SetWindowsTextW的2个参数会被传递过来作为MySetWindowTextW的参数,这是对第二个参数(要显示的字符)进行修改完成后再次调用SetWindowTextW函数(不过这个时候的第二个参数已经被修改了)

那么hook_iat是怎么实现的呢?在看之前先补充一些关于IAT的知识
IAT的结构如图
在这里插入图片描述

BOOL hook_iat(LPCSTR szDllName,PROC pfnorg, PROC pfnNew)
{
	HMODULE hMod;
	LPCSTR szLibName;
	PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
	PIMAGE_THUNK_DATA pThunk;
	DWORD dwOldProtect, dwRVA;
	PBYTE pAddr;
	//hMod,pAddr=ImageBase of cal.exe , VA to IMAGE_DOS_HEADER
	hMod = GetModuleHandle(NULL);//获取最近运行exe的句柄
	pAddr = (PBYTE)hMod;
	//pAddr=VA to IMAGE_NT_HEADERS
	pAddr += *((DWORD*)&pAddr[0x3c]);

	//dwRVA=RVA to IMAGE_IMPORT_DESCRIPTOR Table
	dwRVA = *((DWORD*)&pAddr[0x80]);
	//pImportDesc=Va to Image_Import_DESCRIPTOR Table
	pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hMod + dwRVA);
	for (; pImportDesc->Name; pImportDesc++)
	{
		//szLibName=VA to IMAGE_IMPORT_DESCRIPTOR.Name
		szLibName = (LPCSTR)(DWORD)hMod + pImportDesc->Name;
		if (!_stricmp(szLibName, szDllName))//找到对应dll
		{
			//pThunk=IMAGE_IMPORT_DESCRIPTOR.FirstThunk
			//		=VA to IAT(Import Address Table)
			pThunk = (PIMAGE_THUNK_DATA)((DWORD)hMod + pImportDesc->FirstThunk);
			//pThunk->u1.Function=VA to API
			for (; pThunk->u1.Function; pThunk++)
			{
				if (pThunk->u1.Function == (DWORD)pfnorg)
				{
					//更改内存属性
					VirtualProtect((LPVOID)&pThunk->u1.Function, 4, PAGE_EXECUTE_READWRITE, &dwOldProtect);
					//修改IAT的值
					pThunk->u1.Function = (DWORD)pfnNew;

					//恢复内存属性
					VirtualProtect((LPVOID)&pThunk->u1.Function, 4, dwOldProtect, &dwOldProtect);
					return TRUE;
				}
			}
		}
		
	}
	return FALSE;
}
//替换IAT中szDllName动态链接库的pfnorg函数地址为pfnNew函数的地址

过程分为这几步

  1. 找到exe文件的加载地址(GetModuleHandle(NULL)函数)
  2. 找到user32.dll的加载地址,和SetWindowTextW的加载地址
  3. 修改IAT内存的属性用VirtualProtect函数
  4. 修改IAT->Function值(这个值是函数的真正运行时地址)(dll被主调exe加载到自己的虚拟内存空间,所以直接赋值)
  5. 把内存权限修改回去

dll注入参考https://blog.csdn.net/qq_38204481/article/details/82939494

调试:用OD的附加选项
在这里插入图片描述
右击,查找,所有模块中的名称
敲入字符即可搜索到相应的API或者dll
在这里插入图片描述
64位程序可以用windbg

总结:包含3个函数,主函数负责被加载的时候调用,hook_iat函数负责修改IAT,MySetWindowTextW函数对原函数的具体修改
和调试方式的比较:调试方式对原本的exe影响较大,容易被检测,修改IAT的方式仅仅是增加一个库或者直接代码注入,简洁。

修改windows计算器使其显示数字
小小侠
11-24 1343
看到逆向工程核心原理上用钩子修改计算器使其显示文,自己试着不用钩子做一个显示文的计算器,把过程写出来跟大家分享一下。 一、环境准备 1、WINDOW_XP_SP3 2、OllyDbg 3、UltraEdit 4、VS2008 二、调试过程 利用OD很容易发现,calc使用SetWindowTextW显示,该函数有两个参数,第一个参数是窗口或者空间的句柄,第二个参数是指向字符串的指
IAT 实验程序
03-29
IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序
[dll注入实现IAT勾取] 计算器显示
diheqiu3577的博客
09-10 878
勾取dll源码详解: 首先在创建时候来保存原始IAT地址到全局变量,然后通过Hook_iat函数来进行iat函数的勾取 BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) { switch( fdwReason ) { case D...
计算器显示中文数字
qq_39249347的博客
08-26 2472
通过向计算器进程插入用户的DLL文件,钩取IAT的user32.SetWindowTextW() API地址,负责向计算器显示文本的SetWindowTextW() API钩取之后,计算器显示出的将是中文数字,而不是原来的阿拉伯数字。 只需先将要钩取API在用户的DLL重定义,然后再注入目标进程即可,缺点是,如果想钩取API不在目标进程的IAT,那么就无法使用该技术进行钩取操作,换言之,如果要钩取API是由程序代码动态加载DLL文件而使用的,那么我们将无法使用这项技术钩取它。 选定目标AP.
Hook技术:通过Dll注入Hook IAT计算器显示中文数字(附源码)
weixin_43742894的博客
05-09 2965
计算机的计算器是我们常用的一个小工具(小时候,总是计算机计算器分不开来,哈哈)。 众所周知,计算器在计算的过程显示的都是阿拉伯数字,因为阿拉伯数字是一个全世界通用的表示方法,那么如何让计算器显示中文数字"一、二、三......"呢? 这里我们就可以使用Dll注入去hook关键API实现**计算器显示中文数字**。
C++获取指定程序的IAT
afsafs1231的博客
09-16 197
今天学习导入表,于是便通过程序将获取IAT的过程实现一下,各位看官发现什么问题,请多指教。谢谢!废话不多说,下面是代码:#include<iostream> #include<windows.h> #include<winnt.h> usingnamespacestd; intmain(intargc,char*a...
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb iat的例子
09-14
标签 "iat hook_iat iat_hook iat_sample vb_iat的例子" 强调了关键词"iat hook"、"iat"、"hook_iat"以及"vb_iat的例子",这些都是关键概念。"iat hook"是挂钩IAT的过程,"iat"指的是导入地址表,"hook_iat"可能...
内隐自尊IAT实验程序(Eprime2.0)
09-04
总的来说,内隐自尊IAT实验程序是心理学研究一种重要的工具,它利用E-Prime 2.0软件来探究个体潜在的自我评价,为理解自我认知提供了独特的视角。尽管这种方法有其局限性,但其在揭示无意识思维方面的作用不容忽视...
修改exe PE格式IAT API钩子 通过修改IAT实现 截获API调用,替换之.zip
01-19
PE文件格式是Windows操作系统用于存储可执行程序、动态链接库(DLL)和其他类型文件的标准格式。IAT是PE文件结构的一部分,它存储了程序在运行时将要调用的外部API函数的地址。当程序加载时,操作系统负责填充这些...
记事本writefile API钩取《逆向工程核心原理》
诚邀网络通信领域商务合作
05-18 615
文章目录实验目的一、获取PID二、运行hookdbg.exe三、关闭notepad 钩取(Hooking)是一种更改程序向,以获取程序运行时的信息或使程序具备新功能技术API(Application Programming Interface,应用程序 编程 接口) PID(Process Identification)操作系统里指进程识别号,也就是进程标识符。 操作系统里每打开一个程序都会创建一个进程ID,即PID。 实验目的 示例钩取Notepad.exe的WriteFile() API,保存文
HASP SRM跳IAT加密
06-08
HASP SRM跳IAT加密 HaspSRM狗壳及iat修复 HaspSRM狗壳及iat修复
钩子注入计算器
06-30
钩子注入计算器
什么是 IAT(一)
热门推荐
北冥有鱼的Blog
03-13 1万+
转自:信安之路IAT 三连之什么是 IAT?原创 2018-02-26 x-encounter 信安之路IAT 的全称是 ImportAddress Table。在可执行文件使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入表来完成的。导入...
PE文件结构和调试
zhiyanzhai563的博客
11-04 529
1.PE文件结构 [参考文章](https://blog.csdn.net/adam001521/article/details/84658708) 1.1结构地址偏移 hMod = GetModuleHandle(NULL); pAddr = (PBYTE)hMod; PrintImportTable(pAddr); // pAddr = VA to PE signature (IMAGE_NT_HEADERS) pAddr += *((long long*)&pAddr[0x3C]
IAT-Hook 劫持进程Api调用
笔记本
05-28 2663
✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook的实现代码,后续再更新复制原始API部分代码的热补丁Hook和SSDT-Hook T_T 本来昨...
IAT表是如何实现
zzx的博客
12-16 2344
我们知道当程序要调用系统dll时,会用到IAT表 具体是怎么实现的呢, 假设我们程序某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址是一个jmp [A],A存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A存放的数据,而不是A本身,A存放的数据
32位下IAT Hook实现计算器修改执行
輚至消亡
08-04 639
0x00 简介 这个程序的目的是为了让calc程序显示文。比如: 我是在XP下使用计算器,上面显示的都是阿拉伯数字,现在要用显示,如图所示: 使用OD追踪Windows下的calc程序就会发现,计算器的输入框是一个EDIT空间并且calc程序是通过SetWindowTextW来把键入结果显示在EDIT控件上。 在SetWindowTextW上下断点后运行程序,在calc程序上输...
c/c++ windows 远程线程注入
网瘾少年丶的博客
05-24 998
常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入; 远程线程注入——其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程注入一个线程并执行。 被注入进程A, 注入 进程B HMODULE WINAPI LoadLibrary( _In_ LPCTSTR lpFileName); 以它为远程线程的回调; 它的...
使用 EasyHook 让系统计算器显示文字
wtujoxk的博客
01-05 1249
效果: 我在学习使用EasyHook的时候,遇到一些坑,也慢慢解决了。 我将采用MarshalByRefObject按引用传递和Serializable按值传递这两种方式实现计算器显示文字的效果 这也是对EasyHook学习的一个过程 第一种方式:使用RemoteHooking.IpcConnectClient和RemoteHooking.IpcCreateServer进行传递 Remo...
IATHook技术实现unorder-map管理探讨
资源摘要信息: "IATHook技术通常应用于软件调试和逆向工程领域,它允许开发者拦截并修改程序的导入地址表(Import Address Table,简称IAT),从而改变程序的某些行为。在这项技术,'unorder-map管理'可能指的是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值