VEH HOOK

最新推荐文章于 2023-10-16 10:29:07 发布
最新推荐文章于 2023-10-16 10:29:07 发布
阅读量1.8k 收藏 5
点赞数 1
分类专栏: C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slslslyxz/article/details/105431083
版权

相关函数

我们只需要用到 AddVectoredExceptionHandler 设置VEH异常捕获

PVOID WINAPI AddVectoredExceptionHandler(
  _In_ ULONG                       FirstHandler,
  _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler
);

ULONG WINAPI RemoveVectoredExceptionHandler(
  _In_ PVOID Handler
);

PVOID WINAPI AddVectoredContinueHandler(
  _In_ ULONG                       FirstHandler,
  _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler
);

ULONG WINAPI RemoveVectoredContinueHandler(
  _In_ PVOID Handler
);

设置异常捕获后,我们的callback就能处理异常
_EXCEPTION_POINTERS 可以获得ExceptionRecord
ExceptionRecord中还有异常代码(ExceptionCode)和异常地址(ExceptionAddress)

VEH HOOK原理

1.将需要HOOK的函数入口内容改为0xcc中断,如果你不了解中断向量表和int软中断你可以理解为设置了个断点,这样运行时就会产生异常
2.由我们的异常处理函数捕获后,修改寄存器的值(原参数)和EIP
3.返回EXCEPTION_CONTINUE_EXECUTION,让程序重新跑起来,就能达到HOOK的效果了

下面是个DLL,你需要自己手动在DLL_PROCESS_ATTACH时运行VEH_HOOK_MessageBoxA();
编译后随便写个EXE载入DLL调用MessageBoxA试试吧

// Dll.cpp : 定义 DLL 应用程序的导出函数。
//

#include "stdafx.h"
#include "Dll.h"
#include <stdio.h>
#define  BREAKPOINTLEN 1
PVOID MessageBoxA_Addr;
BYTE MessageBoxA_New_INT;
BYTE MessageBoxA_Ole_INT;
DWORD dwNewProtect = PAGE_EXECUTE_READWRITE;
DWORD dwOldProtect;
//修改参数
char lpText[] = "Test Text! ";

LONG NTAPI CALL_MessageBoxA(struct _EXCEPTION_POINTERS *ExceptionInfo)
{
	if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_BREAKPOINT)//判断异常类型是否是断点
	{

		PVOID addr = ExceptionInfo->ExceptionRecord->ExceptionAddress;//获得异常地址
		if (addr != nullptr/*(PVOID)0*/)
		{
			
			//+0x8正常情况下是汇编中的第一个参数,+0x4为返回EIP
			//但是这里+0x8是汇编中的第二个参数,因为函数开头push ebp的代码被我们改成了0xcc,没有对esp进行压栈
			//又由于所有参数从右到左依次入栈,所以顺序其实是反过来的
			//+0xc 在MessageBox代码中是第二个lpText
			//+0x8 在MessageBox代码中是第三个lpCaption
			*(int*)((ExceptionInfo->ContextRecord->Esp) + 0x8) = (int)lpText;
			*(int*)((ExceptionInfo->ContextRecord->Esp) + 0xc) = (int)lpText;
			//修改状态
			ExceptionInfo->ContextRecord->ContextFlags = CONTEXT_CONTROL;
			//查询控制寄存器组
			ExceptionInfo->ContextRecord->Eip = /*(DWORD)&MessageBoxA;*/(DWORD)addr;
			/*修改TF标志位*/
			ExceptionInfo->ContextRecord->EFlags |= 0x100;
			//恢复代码
			VirtualProtect((void*)addr, BREAKPOINTLEN, dwNewProtect, &dwOldProtect);
			*(BYTE*)(addr) = MessageBoxA_Ole_INT;//把首个字节地址改回去
			VirtualProtect((void*)addr, BREAKPOINTLEN, dwOldProtect, &dwNewProtect);
			//OutputDebugStringA("My::单步运行,取消断点");
			printf_s("单步运行,取消断点\n");
			//AddVectoredExceptionHandler(NULL,(PVECTORED_EXCEPTION_HANDLER)ExceptionInfo);
			return EXCEPTION_CONTINUE_EXECUTION;
		}
		return EXCEPTION_EXECUTE_HANDLER;
	}
	return EXCEPTION_EXECUTE_HANDLER;
}



void VEH_HOOK_MessageBoxA()
{
	AddVectoredExceptionHandler(0, CALL_MessageBoxA);//设置VEH异常捕获
	
	MessageBoxA_Addr = (PVOID)&MessageBoxA;//MessageBoxA地址
	MessageBoxA_Ole_INT = *(BYTE*)MessageBoxA_Addr; //MessageBoxA 首个字节
	VirtualProtect((void*)MessageBoxA_Addr, BREAKPOINTLEN, dwNewProtect, &dwOldProtect);
	*(BYTE*)(MessageBoxA_Addr) = 0xcc;//首个字节内容改成0xcc(int 3)断点中断
	VirtualProtect((void*)MessageBoxA_Addr, BREAKPOINTLEN, dwOldProtect, &dwNewProtect);
}

关于Eflags|=0x100

看下面的图,程序状态字(标志寄存器),TF在8,但是开头是从0开始的,所以应该在从右向左第9个bit。
标志寄存器

没事干写博客玩
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
VEH Hook 及 检测
零点起步
04-15 1万+
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。 在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。 typed
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7577
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
VEH hook
weixin_50217210的博客
10-16 233
终止当前程序的执行-->调试器(进程必须被调试,向调试器发送EXCEPTION_DEBUG_EVENT消息)-->执行VEH-->执行SEH-->TopLevelEH(进程调试时不会被执行)-->执行VEH-->交给调试器(上面的异常处理都说处理不了,就再次交给调试器)-->调用异常端口通知csrss.exe。思路就是不断改变某一块内存属性,当执行命令或者某些操作的时候,执行的内存属性是可执行的,当功能模块进入睡眠的时候将内存属性改为不可执行。然后就是注册异常函数,这个异常函数就是为了恢复可执行内存属性。
游戏逆向-2.2VEH+软件/硬件断点实现hook
qq_41709308的博客
03-08 3059
这里设置4个硬件断点后,还可以通过int 3实现软件断点,软件断点的优点在于只破坏一个字节,同时理论上可以下无限多个hook,而硬件断点只限制在四个,当然除了int 3等,还可以通过设置Page_NoAccess达到异常hook,文章中就不再讲述另外的异常hook,如读者有兴趣了解更多可以自行补充,另外上一章的inline hook和软件断点将会留在2.3章实战中演示具体操作。
基于VEH&调试寄存器实现无痕HOOK(5)
m0_64973256的博客
12-30 2512
Windows操作系统中存在多种异常处理,我们现在需要的是其中的VEH
VEH+硬件断点实现无痕HOOK
09-24
【标题】"VEH+硬件断点实现无痕HOOK"涉及的是Windows系统中的一种高级调试技术,主要用于在不改变目标程序原始行为的情况下,插入自定义代码以监控或修改其执行流程。这种技术常用于软件调试、逆向工程、安全检测等...
进程异常VEHHook源码
12-27
进程异常VEHHook源码进程异常
易语言-利用硬断+VEH实现APIHOOK
06-25
所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API 大牛就...
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 ...代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API 大牛就别来吐槽了 。- -转来的哦。只在XP WIN7 X32 下测试通过。@659656hkl。
e语言-利用硬断 VEH实现APIHOOK
08-23
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦只在XP WIN7 X32 下测试通过
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API大牛就别来吐槽了 只在XP WIN7 X32 下测试通过
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
二、C++反作弊对抗实战 (进阶篇 —— 10.利用硬件断点 + 结构化异常VEH HOOK与对抗方法)
Koma的主页
03-04 1207
本章节详细讲述了VEH HOOK与检测、对抗的方法,本文对应的代码在2.09文件夹中。上面这些都只是一些基础的对抗方法,对抗与绕过都是一次思维上的跳跃,欢迎大家参与讨论并留言!
VEH HOOK FUNCTION
做一个快乐学习者
04-07 349
VEH HOOK MessageBoxA and MessageBoxW demo
VEH软件断点和硬件断点Hook管理
qq_40363731的博客
03-27 376
【代码】VEH软件断点和硬件断点Hook管理。
vue中的hook
axzzy的博客
10-26 1034
vue中hook的两点使用 1. 在同一个组件中 (访问本组件中的生命周期) 例如:在mounted中添加一个监听需要在beforeDistroy中移除这个监听,考虑到某些原因你不想再写个beforeDistroy去实现 mounted () { window.addEventListener('online', this.handleOnline) this.$once('hook:beforeDestroy', function () { window.removeEventListen
Windows内核驱动Hook入门
随心动,随风行
07-16 7621
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
VEH 无痕HOOK代码
最新发布
06-12
VEH (Virtual Environment Hooking) 是一种高级恶意软件技术,它通常用于创建无痕或绕过操作系统和安全软件检测的挂钩(Hooking)。在Windows环境中,VEH允许恶意代码在进程的虚拟地址空间中动态插入钩子,而不是在目标程序的原代码上直接修改。这种技术通过虚拟机(VM)或硬件辅助虚拟化来执行,使得攻击者可以在不改变原程序的情况下监控、修改或拦截系统调用。 VEH代码通常包括以下几个步骤: 1. **内存映射**:恶意代码首先会将自己的部分代码映射到目标进程的地址空间中。 2. **设置钩子**:通过API如`GetProcAddress`获取需要监控的函数的地址,并在映射的内存区域中设置一个跳转到自己代码的入口点。 3. **执行原代码**:当目标进程调用被钩的函数时,实际上执行的是恶意代码的处理逻辑。 4. **处理结果**:处理完后,恶意代码再将控制权返回给原函数的正常执行流程。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

没事干写博客玩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值