windows ring3 注入及hook

最新推荐文章于 2023-06-27 16:49:56 发布
最新推荐文章于 2023-06-27 16:49:56 发布
阅读量472 收藏 2
点赞数
分类专栏: # 2 windows安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangsilian/article/details/89945700
版权

需求背景

动态修改程序的函数oldsub()执行我们的newsub()

此时则需要注入并hook

注入

简单的远程线程注入分三步
//获取进程句柄
//提升权限
//注入dll

#include <windows.h>

//获取进程句柄
HANDLE GetThePidOfTargetProcess(HWND hwnd)
{
    DWORD pid;
    GetWindowThreadProcessId(hwnd, &pid);
    HANDLE hProcee = ::OpenProcess(PROCESS_ALL_ACCESS | PROCESS_CREATE_THREAD, 0, pid);
    return hProcee;
}
//提升权限
void Up()
{
    HANDLE hToken;
    LUID luid;
    TOKEN_PRIVILEGES tp;
    OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
    LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid);
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    tp.Privileges[0].Luid = luid;
    AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
}
 
//进程注入
 
BOOL DoInjection(char *DllPath, HANDLE hProcess)
{
    DWORD BufSize = strlen(DllPath)+1;
    LPVOID AllocAddr = VirtualAllocEx(hProcess, NULL, BufSize, MEM_COMMIT, PAGE_READWRITE);
    WriteProcessMemory(hProcess, AllocAddr, DllPath, BufSize, NULL);
    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");
 
    HANDLE hRemoteThread;
    hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, pfnStartAddr, AllocAddr, 0, NULL);
    if (hRemoteThread)
    {
        MessageBox(NULL, TEXT("注入成功"), TEXT("提示"), MB_OK);
        return true;
    }
    else
    {
        MessageBox(NULL, TEXT("注入失败"), TEXT("提示"), MB_OK);
        return false;
    }
}
 
 
int main()
{
    //这里填写窗口标题
    HWND hwnd=FindWindowExA(NULL, NULL, NULL, "任务管理器");
    Up();
    HANDLE hP = GetThePidOfTargetProcess(hwnd);
    //开始注入
    //这里填写Dll路径
    DoInjection("E:\\studio\\VS2017\\F2H1.MessageBox\\x64\\Release\\F2H1.MessageBox.dll", hP);
}

参考:
https://github.com/suvllian/process-inject
https://github.com/suvllian/process-inject

hook

方式1:通过注入dll到目标进程进行,可以替换kernelbase.dll里面的OpenProcess的前面5个字节为jmp跳转到我们自己的地址,也可以修改目标进程的IAT.
方式2:通过WriteProcessMemory写入代码,修改目标进程的OpenProcess跳转到我们的代码

// 设置hook  https://bbs.pediy.com/thread-250631.htm
void* setReturn1(int toAddr, int fromAddr) {
 
    int isize = 5 + 5 + 5;
    char *p1 = (char*)VirtualAlloc(0, isize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memset(p1, 0, isize);
    char *p = (char*)&return1;
    // 改用汇编,不然Release编译时会出错
    // memcpy(p1, p, isize);
    __asm {
        pushad;
        mov esi, p;
        mov edi, p1;
        mov ecx, isize;
        rep movsb;
        popad;
    }
 
    // 目标地址 - (当前地址 + 指令长度)
    int fix1 = toAddr - ((int)p1 + 5);
    int fix2 = (fromAddr + 5) - ((int)p1 + 0xA + 5); // ret addr
    int fix3 = (int)p1 - (fromAddr + 5);
    *(int*)((int)p1 + 1) = fix1;
    *(int*)((int)p1 + 0xB) = fix2;
 
    // hook
    DWORD flOldProtect;
    VirtualProtect((LPVOID)fromAddr, 5, PAGE_EXECUTE_READWRITE, &flOldProtect);
    *(BYTE*)fromAddr = 0xE9; // JMP x
    *(int*)(fromAddr + 1) = fix3; // JMP x
    VirtualProtect((LPVOID)fromAddr, 5, flOldProtect, &flOldProtect);
 
    return p1;
}
hook库对比:

nthookengine //支持x64 开源
mhook //支持x64 开源 https://github.com/martona/mhook
Detour//x64收费 https://github.com/microsoft/Detours

https://blog.csdn.net/zhuhuibeishadiao/article/details/51170608

寻址

通过LoadLibrary加载kernelbase.dll模块基地址.
通过GetProcAddress获取OpenProcess的地址.
方式2:编程直接引用OpenProcess的地址,因为在Windows下3大模块user32.dll,kernelbase.dll,ntdll.dll的加载基地址在每个应用程序中都是一样的.
方式3:通过寻找目标的IAT找到OpenProcess

内存中特征码匹配参考:
https://bbs.pediy.com/thread-121198.htm
https://blog.csdn.net/HoneyCat/article/details/3950939

参考:
hook原理:https://bbs.pediy.com/thread-228669.htm

tangsilian
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
Windows x86/ x64 Ring3注入Dll总结
09-30
Windows x86/x64 Ring3注入Dll总结】 在Windows操作系统中,Ring3层指的是用户模式,这是应用程序运行的层次。Dll注入是一种技术,它允许一个进程将自己的代码(通常是一个动态链接库,Dll)注入到另一个进程中...
Ring3hook
kernweak的博客
06-02 727
hook enginenthookengine mhook Detour 方法: 本进程hook,直接调用hook函数(自己进程还要hook?),否则写一个dll,在dll里hook每一个函数,然后将该dll注入到目标进程,达到hook目标进程中的函数的目的。 MHOOK 要获取原始函数地址 #include mhook.h typedef ULONG (WINAPI* _N...
Ring3Hook API实现分析
panda1987的专栏
01-18 7703
    本文主要针对用户级别下HOOK API的方法进行一下总结。对应的,自然也有ring0下的HOOK API方法,但是这个需要一些驱动方面的基础,暂时不在本文讨论范围内。另外ring3下的HOOK API方法也有很多种,我只列举我所能想到的。    所谓HOOK API,与Windows 下的HOOK其实是完全两个概念,风马牛不相及。当然在之后的讨论中你也会看到有关于windows hook的讨论,但是这是另外一个话题了。    那么到底什么是HOOK API呢?我们可以暂且简单的认为HOOK API就
API拦截—实现Ring3全局HOOK
迈克揉索芙特
01-02 4588
       魏滔序注:本转载内容仅用来技术研究,请勿于损人害己之用。       首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程,然后对每个Ring3进程执行一遍HOOK操作。但是,系统中总有新进程产生,对于这些新进程我们怎么处理
ring3 hook ZwWriteVirtualMemory
weixin_30820151的博客
01-04 429
typedef LONG NTSTATUS;typedef NTSTATUS (NTAPI *PNtZwWriteVirtualMemory) ( IN HANDLE hProcess, IN PVOID BaseAddress, IN PVOID Buffer, IN ULONG BytesToWrite, OUT PULONG BytesWritten ); PNtZwWriteVir...
windows apihook示例代码
07-03
本示例代码是一个Ring3级的API Hook,意味着它在用户模式下进行,这是大多数应用程序运行的级别。 Delphi是一种基于Pascal语言的集成开发环境,常用于创建Windows应用程序。这个示例程序是用Delphi7编写的,一个较...
Windows Inline Hook Demo
12-16
总的来说,"Windows Ring0 Inline Hook 演示程序"提供了一个实践和学习如何在内核层面上进行代码注入的平台。通过对"MyDriver"的分析和调试,我们可以深入理解Windows内核的工作机制,以及Inline Hook技术在系统监控...
Windows Hook案例分析与技术探索
06-24
权限方面,Hook分为应用层HookRing3)和内核层Hook(Ring0)。应用层Hook在用户模式下运行,适用于大多数情况,而内核层Hook则在更底层的内核模式下运行,具有更高的权限,但使用时需谨慎,因为它可能会触及系统...
Windows Ring3注入——注入相关知识(零)
qq_38493448的博客
01-16 1012
Windows Ring3注入——注入相关知识(零)定义需要注入的几种情况注入时机静态输入动态加载加载服务模块注入方法概括说明注入方式原理通过干预输入表处理过程加载目标DLL改变程序运行流程主动加载DLL利用系统机制加载DLL几种常见的注入方式静态注入:动态加载:加载服务模块: 定义 注入就是迫使第三方进程非自愿加载某个模块(DLL)。 需要注入的几种情况 1.想要从另一个进程创建窗口派生子类窗...
ring3下实现HOOK API续之进程防杀
03-31
ring3下实现HOOK API续之进程防杀
推荐一些 Windows环境 HOOK API 的各种 示例源代码
03-15
推荐一些 Windows环境 HOOK API 的各种 示例源代码 推荐一些Windows环境下的HOOK API各种示例源代码,包括网络、注册表、文件、对话筐、进程等各个方面,这是些编程常用到的HOOK示例,可作为资料保存,以备后用。
RenHook:Windows的开源x86 x86-64挂钩库
05-05
人钩 Windows的开源x86 / x86-64挂钩库。 特征 支持x86和x86-64(使用作为 ) 完全用C ++ 11编写 安全易用 挂钩方法 内联钩子-修补函数的序言以重定向其代码流,还为该函数分配一个蹦床,以用于执行原始函数。 快速范例 通过地址挂机 # include < Windows> # include < renhook> void func_detour (); using func_t = void (*)(); renhook::inline_hook< func> func_hook ( 0x14000000 , &func_detour); void func_detour () { OutputDebugStringA ( " Hello from the hook! \n " ); func_ho
3.ring3-hook的2种基础方式(SetWindowsHookEx、CreateRemoteThread、)
hgy413的专栏
02-08 1786
SetWindowsHookEx  1.在成功调用 SetWindowsHookEx 后,系统自动映射 DLL 到钩子作用的线程地址空间,但不会立即发生映射,因为 Windows 钩子都是消息,DLL 在消息事件发生前并没有产生实际的映射。 2.为了强制进行映射,在调用 SetWindowsHookEx 之后马上发送一个事件到相关的线程。 SendMessage(hWnd, WM_HOO
1.ring3-windows hook机制详解
hgy413的专栏
05-28 1844
WINDOWS 的消息机制 Windows 系统是以消息处理为其控制机制,系统通过消息为窗口过程( windows procedure)传递输入。系统和应用两者都可以产生消息。 Windows 的消息处理机制为了能在应用程序中监控系统的各种事件消息,提供了挂接各种回调函数(HOOK)的功能。可以挂接多个反调函数构成一个挂接函数链。系统产生的各种消息首先被送到各种挂接函数,挂接函数根据各自的
使用windows钩子(HOOK)实现DLL注入
new9232的博客
08-21 6627
本文章介绍如何使用HOOK技术实现DLL注入。通过一个测试程序,记录你的任何键盘输入信息,见识到HOOK技术的强大之处。
ring3 inline hook例子
yxuenong的专栏
12-14 756
ring3 inline hook例子 #include #include #include //修改API入口为mov eax,00400000; jmp eax 跳转到自己的函数 BYTE NewBytes[8] = {0xB8,0x0,0x0,0x40,0x0,0xFF,0xE0,0x0}; BYTE OldBytes[8] = {0}; FARPROC Crea
Ring3 hook动态库优先加载劫持函数调用(用于实现文件监控)
qq_42896627的博客
04-16 371
1 #include <stdio.h> 2 #include <string.h> 3 #include <stdl...
windows hook 注入线程钩子
最新发布
qq_45114282的博客
06-27 97
/定义的全局钩子变量。//监控键盘回调函数。
Windows Ring3层DLL注入技术总结
"这篇文章除了介绍Windows x86/x64 Ring3层Dll注入的概念,还总结了六种Dll注入技术,并提供了权限提升的函数示例。" 本文主要探讨的是Windows操作系统中的Dll注入技术,特别是在Ring3层,即用户模式下的注入方法。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值