躲猫猫,用inline hook来进行验证

最新推荐文章于 2023-05-28 11:16:45 发布
最新推荐文章于 2023-05-28 11:16:45 发布
阅读量220 收藏
点赞数
分类专栏: 计算机系统基础 文章标签: HOOK Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/89402171
版权

Hook是一个非常强大的技巧,利用Hook,不仅可以起到监控进程,做自己想做的事,而且可以利用hook来进行一些check。

给出下面的main函数:

#include <stdio.h>
#include <Windows.h>
#pragma warning(disable:4996)

//key : ccaaa
int main()
{
	char s[256] = "\0";
	if (NULL == LoadLibrary(L"F:\\桌面\\c语言\\HOOK_DLLLL\\Debug\\HOOK_DLLLL.dll")) {
		printf("%d\n", GetLastError());
	}
	printf("input key : ");
	scanf("%s", s);

	MessageBoxW(0, L"win", L"yingyingying", MB_OK);

	return 0;
}

例如我们可以Hook MessageBoxW,并将验证藏在MessageBoxW中,让它跟MessageBox的第一个参数的值挂钩,相应的dll代码如下:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"
#include <stdio.h>
#include <stdlib.h>

typedef int(*TYPE_MessageBox)(HWND, LPCWSTR, LPCWSTR, UINT);
typedef void(*MyHookProc)();
WCHAR *lose = L"lose";
WCHAR *fail = L"fail";
BYTE temp[5];
TYPE_MessageBox  funcAddr;

void RestoreHook()
{
	int i;

	for (i = 0; i < 5; i++) {
		*((unsigned char *)funcAddr + i) = temp[i];
	}
}

_declspec(naked) void MyHook()
{
	_asm {//[ebp + 8]
		push ebp
		mov ebp, esp
		mov eax, [ebp + 8] //get HWND
		cmp eax, 1
		je success	//if success
		mov eax, lose //替换第二个参数
		mov [ebp + 12], eax //替换第三个参数
		mov eax, fail
		mov [ebp + 16], eax
	success :
		mov [ebp + 8], 0	//清零(NULL) 因为我们实际上并没有指定任何handle
		call RestoreHook	//恢复原本的MessageBoxW
		mov esp,ebp
		pop ebp
		mov eax,funcAddr
		jmp eax			//跳到原本的函数执行
	}
}

void MyHookMessageBox()
{
	HMODULE hProc = NULL;
	WCHAR *libName = L"user32.dll";
	BYTE code[5] = {0xE9 };
	DWORD oldProtect;

	hProc = GetModuleHandle((LPCWSTR)libName);
	if (!hProc) {
		printf("%d\n", GetLastError());
	}
	funcAddr = (TYPE_MessageBox)GetProcAddress(hProc, "MessageBoxW");//获得函数地址

	memcpy(temp, (void *)funcAddr, 5 * sizeof(BYTE));//保存原本
	*((int *)(code + 1)) = (int)MyHook - (int)funcAddr - 5;//这里的jmp是相对跳转 不好理解的可以动手算一下
	VirtualProtect(funcAddr, 5, PAGE_EXECUTE_READWRITE, &oldProtect);//代码页赋予写权限 因为我们要memcpy
	memcpy(funcAddr, code, 5 * sizeof(BYTE));
	VirtualProtect(funcAddr, 5, oldProtect, NULL);//恢复之前的页属性
}


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MyHookMessageBox();
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

当我们运行程序时,正常来说应该是显示yingyingying的,但是被hook之后显示出了这个。
在这里插入图片描述
所以需要将主函数的MessageBoxW的第一个参数改为1。
在这里插入图片描述

其实我们可以在dll里再放置一个计数器;并在主函数里任意隐蔽位置执行n个MessageBox进行混淆和一个最终的验证flag值以用于最终验证,每调用一次MessageBox就增加一次计数器,我们可以自定义到达哪个值,会进行一次hook验证,如果不符合,最终的flag值就为false,然后恢复原本的MessageBoxW,接着正常执行,直到最后验证。我这里就简单的提示一下,等鄙人有时间再完善。

Lun3r-
关注
专栏目录
Inline Hook检测模块到驱动
10-16 1372
 by sudami由于项目需要,驱动中要做所有的事情,所以我负责的一个小小的模块自然要全部在驱动中实现;    小小的模块中一个小小的Inline Hook检测部分当然也不例外. 不过是要把某个函数调用链下所有调用过的函数都扫一遍,看是否存在恶意程序的干扰,自然用个深度递归就搞定,可是移植到驱动中,扫描是没问题,就怕那些变态的HOOK恢复不过来,还好,经过一小段时间的算法改进,差不多实现
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的函数的几条指令来替换,如果要执行原函数,则在我们函数处理完毕,再执行我们保存起来的开头几条指令,然后调回我们取...
简单的INLINE HOOK检测
cackeme的专栏
09-24 4134
/*  @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK没检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
检测API函数的InlineHook
weixin_30500663的博客
07-28 196
检测API函数的InlineHook 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName) 2 { 3 HMODULE hModule = GetModuleHan...
Inline HOOK
最新发布
Tandy12356_的博客
05-28 4331
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
InlineHook3(单步异常挂钩,监测调试器行为)
寻梦&之璐
05-11 274
#include <iostream> #include<Windows.h> char* p; int i; void JmpTarget(); void __declspec(naked) IdtEntry() { p = (char*)0x8003f120; for (int i = 0; i < 64; i++) { *p = ((char*)JmpTarget)[i]; p++; } __asm {
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,从而在不改变原有函数调用结构的情况下,动态改变函数的功能或行为。这种技术在系统监控、恶意软件分析、游戏修改以及性能优化等...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段跳转指令,实现对应用程序的控制和...
inline hook 源码
11-14
总的来说,inline hook是一种强大的技术,但同时也需要对底层编程有深入的理解。cpp-stub-master这个库可能是学习和研究这一技术的一个好起点,通过阅读和分析源码,我们可以更深入地了解如何在实际项目中应用inline...
C++实现inline hook的原理及应用实例
09-04
Inline Hook是一种强大的技术,但也需要谨慎使用,因为它涉及到对内存的直接修改,可能会引发程序稳定性问题,尤其是在系统级别的API上。同时,由于Windows的安全机制,如数据执行保护(DEP)和地址空间布局随机化...
用开源反汇编引擎检测inline hook
12-10
用开源反汇编引擎检测inline hook
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
Android Hook 技术之 绕过系统对Activity验证
07-18
【SDK热更系列】Android Hook 技术之 绕过系统对Activity验证 , 原理详见个人博客https://blog.csdn.net/u012573920/
Inline Hook(ring3)的简单C++实现方法
12-31
C++的Inline Hook代码,采用了备份dll的方法,因此在自定义的函数中可以直接调用在内存中备份的dll代码,而不需要把函数头部改来改去。用SetWindowsHookEx程序的稳定性应该会增加许多。 需要注意的是,例子中没有把原函数的头部几个字节改回去是因为,程序很简单,仅仅测试了效果后便可以退出,没有其他的功能。实际应用中,还要在你注入的dll模块卸载时,把原函数的头几个字节改回去,以免影响到程序继续运行的稳定性。(因为注入的程序不是自己的,我们当然不可能知道它到底在何时、有多少个我们所Hook的函数的调用)。 具体实现代码如下: #include <ntifs> #incl
内核所有模块导出函数inlinehook检测
cqyczj的专栏
04-26 1019
主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inlinehook。所以各种狡诈的inlinehook伎俩(mov eax ,xxxx add eax,xxxx,call eax)是逃不过检测的,除非它修改原始磁盘文件。不过可惜,在比较之前是可以进行md5验证的。若原始磁盘文件被修改,显然是昭然若揭了
【2021.01.15】INLINE HOOK
oalken的博客
01-15 173
IAT HOOK的缺点 容易被检测。 只能HOOK IAT表中的函数。 例子 #include <Windows.h> #define PATCH_LENGTH 5 DWORD dwHookAddress = NULL; char szNewText[] = "Inline Hook"; void MessageBoxProc(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { //该函数想怎么写怎么写 没有限制
Android签名验证——Hook签名第一步
lemisky的博客
08-29 3893
网上虽然很多Hook Android App 签名的方法,例如: 一键绕过App签名验证 一键破解APK签名校验 但是要想知道其中Hook的实现原理,并且能自己编写Hook实现,那么我们首先得知道以下几个问题: Android开发如何进行签名验证 Hook签名原理,及其实现 这篇文章先讲第一个问题——Android签名验证 由于网上相关文章比较多,这里就不赘术,仅提供核心代码 能研究这个...
完美绕开CRC32检测的无痕hook
陈子青的博客
07-18 4956
Hook英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从A到B顺序来执行,此时我们在A点做Hook,将程序执行路线变成了从A点先到C点再到B点,这个过程就叫Hook,C点这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序的执行出我们想要的结果。(记住此时的ABC,下文都以此为例)............
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
深入解析内核 Inline Hook 实现
"详谈内核的Inline Hook实现" 本文深入探讨了内核级Inline Hook的原理和实现,Inline Hook是一种强大的技术,它允许我们在函数执行过程中插入自定义的行为,以达到控制或过滤函数操作的目的。在理解Inline Hook之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值