自实现API绕过用户层HOOK

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量824 收藏 4
点赞数
分类专栏: 内核学习 文章标签: 安全 程序人生 恰饭 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superchickenchicken/article/details/104996482
版权

开始正文,用NtReadVirtualMemory函数做例子

0.获取自实现函数地址

如果是自己写的函数,那就把你写入的空间首地址整过来
如果是系统自带内核函数,直接使用windbg:

在这里插入图片描述

就可以获得函数地址!

1.然后将该函数地址放置在第一个系统服务表的尾部

在这里插入图片描述

因为上图有0x11C个函数,所以我们要填充在0x11d处(尾部)在这里插入图片描述

在这里插入图片描述

2.将函数个数+1

在这里插入图片描述

3.,接下来去修改函数参数字节个数表

因为原本有0-0x11b(一共0x11c个函数),现在我们在0x11c的位置添加了NtReadVirtualMemory函数,这是第0x11C个函数,所以该函数调用号为0x11C

注意,是函数参数字节个数表!!!参数总字节大小!!!

注意,是函数参数字节个数表!!!参数总字节大小!!!

注意,是函数参数字节个数表!!!参数总字节大小!!!

在这里插入图片描述

因为NtReadVirtualMemory有五个参数 所以这里参数个数设置为0x5*4(这里是因为每个参数大小都是4,不同函数的重新算)

4.接下来就去编写ring3 部分代码 根据11c 调用号调用该函数

#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
#include<winbase.h>
DWORD flag = 0;
void __declspec(naked) sysenter() 
{
	__asm
	{
	    mov edx,esp;    //sysenter函数固定的语句,在进入后sysenter会用到edx(esp)
		__emit 0x0f;	//sysenter硬编码
		__emit 0x34;
	}
	
}
void __declspec(naked)  NtReadVirtualMemory()
{
	__asm
	{
		mov eax,0x11c;//设置的函数调用号
		call sysenter;
		retn 0x14;  //堆栈平衡,参数字节大小
	}
	
}


int main()
{
	DWORD a = 0x12345678;
	DWORD b = 0x0;

	DWORD NumberOfBytesToRead = 4;
	DWORD NumberOfBytesReaded = 0;
	HANDLE ProcessHandle= GetCurrentProcess();
 
	

	NtReadVirtualMemory(ProcessHandle,&a,&b,NumberOfBytesToRead,&NumberOfBytesReaded);

	printf("获取到的内容:%x\n",b);
	printf("LastError:%x\n",flag);

	flag =GetLastError();
	printf("读取的字节数:%x\n",NumberOfBytesReaded);
	getchar();

	return 1;
}

OK,大功告成,自写API(ring3部分),再也不怕在应用层被hook了!

其他函数类比本次使用的NtReadVirtualMemory函数,熟练后可尝试
用代码去更改系统服务表,

嗯?你问我怎么用代码更改?

_KTHREAD+0xE0就是系统服务表!

嗯?你问我_KTHREAD怎么找?

 进0环(这个方法很多别问我)后,FS:[0x124]找到KPCR中的KRPCB中的CurrentThread 得到<font color = red>当前线程基址 == ETHREAD结构体基址 == KTHREAD结构体基址</font>  
 
-恭喜你,你现在找到了SSDT(系统服务表)

嗯? 你说你虽然处于0环但仍然没权限更改SSDT表内容?

- 我博客有个滴水中期检测题,第一题就是提权的代码,去吧!

:

0F34
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C# 优雅的 APIHOOK 支持X86+X64源码
09-21
using System; using System.Runtime.InteropServices; namespace NativeHook.Test { public delegate Int32 MessageBoxW(IntPtr hWnd, [MarshalAs(UnmanagedType.LPWStr)] string lpText, [MarshalAs(UnmanagedType.LPWStr)] string lpCaption, UInt32 uType); public class MessageBoxHook : NtAPIHook { [DllHook("user32", EntryPoint = "MessageBoxW")] public Int32 MessageBox(IntPtr owner, string text, string caption, UInt32 options) { //拦截信息 Console.Title = caption; Console.WriteLine(text); //调用源函数 return Origin.Invoke(owner, text, caption, options); } } } [STAThread] static void Main(string[] args) { using (var hook = new MessageBoxHook()) { //绕过Hook直接调用源函数 hook.Origin(IntPtr.Zero, "111", "222", 0); //调用ApiHook MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); } //Hook解除拦截不到 MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); }
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 653
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
windows-API劫持(API-HOOK
墨鱼菜鸡
12-18 386
API Hook ApiHook又叫做API劫持,也就是如果A程序调用了B.cll里面的C函数,我们可以做到当A调用C函数执行的时候,直接执行我们自己事先准备好的函数,之后我们在执行真正的C,当然我们可以不执行C或者更改C的参数等等,实现的核心思路就是: ...
IAT-Hook 劫持进程Api调用
笔记本
05-28 2593
✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook实现代码,后续再更新复制原始API部分代码的热补丁Hook和SSDT-Hook T_T 本来昨...
用户下拦截系统api的原理与实现
默数悲伤
04-15 2074
  写这篇文章是为了复习一些知识,最近在做毕业设计,之中大量地使用了这种技术,主要是用在拦截winsock函数,对于其他系统api,其效果也是一样的.  拦截api的技术有很多种,大体分为用户和内核的拦截.这里只说说用户的拦截.而用户也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要
对付API-splicing的一种简单方法
04-25 954
 对于拦截API函数通常使用一种叫splicing的方法。此法的本质就是用JMP指令替换函数起始处的5个字节,将控制权传递给拦截程序。这种技术广泛应用于个人防火墙中,以防木马程序将自己的代码注入到其它可访问网络进程的地址空间中。然而,木马程序作者们可以采用不同的技术来穿透防火墙。比如说很流行的防火墙Agnitum Outpost的第三版就可以轻松绕过(详见MS-REM的文章《使用inject绕过
IAT Hook
Tandy12356_的博客
05-26 1760
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
深入IAT HOOK
无心的博客
07-13 2166
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入表,在调用函数的时候,我们CALL的是导入地址表的一个地址,为什么要调用这里,而且在构造导入表的时候,导入名称表(INT)和导入地址表(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT表的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT表的填写 在上一篇文章中,我们构造导入表的时候,将 IAT 表和 INT 表都
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 639
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
另类弹出窗口,跳过所有拦截工具
10-31
为了解决这个问题,开发者们探索出了一个巧妙的方法,即模拟用户点击超链接的行为来打开新窗口,以此来绕过这些拦截工具。 在描述中提到的“当用户点击连接再弹出新窗口时是不会被拦截的”,这是因为浏览器通常会...
鲸:适用于AndroidIOSLinuxMacOS的Hook框架
01-31
绕过Hidden API Policy 达尔文/ Linux平台 内部符号解析器 本地钩 IOS限制 IOS上的InlineHook仅可在非越狱设备上以debug compile mode使用。 发布编译模式将无法正常工作。 为了解决这个问题,Whale将提供一个名为...
frida-skeleton:基于frida的安卓hook框架,提供了很多frida自身不支持的功能,将hook安卓变成简单便捷,人人都会的事情
04-29
自动将手机上的所有TCP流量重定向到PC上的抓包工具如BurpSuite,无需手动配置,且自动绕过证书绑定机制 丰富的日志记录功能,让你的hook历史永不丢失 自动识别当前使用的frida版本并下载对应版本的frida-server到/...
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时...
IAT HOOK
azraelxuemo的博客
01-25 457
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改了IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
IAT HOOK
weixin_44711063的博客
03-11 575
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
4.3 IAT Hook 挂钩技术
热门推荐
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2339
IAT Hook是Ring3常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
Xperf 使用方法
挖树
11-17 5228
Xperf 使用 文章目录了解安装收集分析其他附录 了解 xperf是Windows Performance Tools Kit中的一个工具 xperf是一套工具集,这些工具目前包含一个 xperf 跟踪捕获工具、一个 xperfview 虚拟化工具(也称为性能分析器)和一个 xbootmgr 启动跟踪捕获工具。这些工具用于分析大量的性能问题,包括应用程序启动次数、启动问题、延迟的过程调用和中断活动(DPC 和 ISR)、系统响应问题、应用程序资源利用和中断风暴。 xperf基于Windows事件跟踪Eve
frida反调试hook 知乎
最新发布
06-21
Frida是一款强大的动态代码插桩和调试工具,特别适用于在运行时对程序进行监控和修改。它的核心功能之一就是反调试hook,即检测并规避或绕过应用程序的调试器保护机制。 当一个应用被调试器(如Visual Studio、OllyDbg等)接管时,它通常会设置一些钩子点(hooks)来检查和拦截特定的执行路径。Frida通过在这些钩子点上插入自己的代码,能够在不被原始应用察觉的情况下执行操作,例如监控API调用、数据抓取或实施代码替换。 Frida如何实现反调试hook: 1. **Hooking API**:Frida提供了一个低级别的API,可以让你在特定的内存地址或函数上调用前或调用后插入自己的JavaScript代码。 2. **动态加载**:Frida不会在系统启动时就被加载,而是作为库动态链接到目标应用中。这样可以避开常规的预加载检测。 3. **检测调试器**:Frida内部有一个机制,可以检测当前进程是否正在被调试,如果检测到,它可以暂时停止操作或采取其他策略来避免触发调试器的警报。 4. **逃避技术**:Frida会使用一些技巧,比如随机化API地址或使用内存混淆,来使自己的插桩代码更难以被调试器识别。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值