HOOK API 之修改IAT实现进程隐藏

最新推荐文章于 2022-01-25 15:49:00 发布
最新推荐文章于 2022-01-25 15:49:00 发布
阅读量1k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tian028/article/details/88537883
版权
本文介绍了通过HOOK API修改进程的IAT(导入地址表)来实现进程隐藏的技术。详细讲解了如何将API调用重定向到自定义的API PROXY函数,以记录函数调用信息并控制流程。示例代码展示了如何在Windows 64位环境下,针对特定进程(如aaa.exe和bbb.exe)隐藏其在系统信息中的显示。
摘要由CSDN通过智能技术生成

1 .技术与实现

每个调用的 API 函数地址都保存在 IAT 表中。 API 函数调用时,每个输入节( IMPORT SECTION )所指向的 IAT 结构如下图所示。

程序中每个调用API 函数的CALL指令所使用的地址都是相应函数登记在IAT表的地址。所以为了截获API 函数,我们将IAT表中的地址换成用户自己的API PROXY函数地址,这样每个API调用都是先调用用户自己的API PROXY函数。在这个函数中我们可以完成函数名称的记录、参数的记录、调用原来的过程,并在返回时记录结果。

2.源码

// win64 注入dll到需要实现隐藏aaa.exe bbb.exe进程的程序中 入task任务管理器
#include "stdafx.h"
#include <stdio.h>
#include <shlwapi.h>
#include <process.h>
#include <Commctrl.h>
#include "tlhelp32.h"

 

#pragma comment(lib,"ntdll.lib")

#define STATUS_SUCCESS ((NTSTATUS) 0x00000000L)

typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);
//new messagebox function

typedef struct _MY_SYSTEM_PROCESS_INFORMATION {
    ULONG          NextEntryOffset;
    ULONG          NumberOfThreads;
    LARGE_INTEGER  Reserved[3];
    LARGE_INTEGER  CreateTime;
    LARGE_INTEGER  UserTime;
    LARGE_INTEGER  KernelTime;
    UNICODE_STRING ImageName;
    ULONG          BasePriority;
    HANDLE         ProcessId;

最低0.47元/天 解锁文章
tian028
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
进程隐藏API HOOK
weixin_42071117的博客
10-20 1188
// 在Windows中,用户进程的所有操作都是基于WIN32 API实现的,例如使用任务管理器来查看进程等操作。 // API HOOK技术是一种改变API执行结果的技术。 // PS:ZwQuerySystemInformation函数: // 功能:获取指定的系统信息。 // 原型:NTSTASTUS WINAPI ZwQuerySystemInformation ( // _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
基于IAT hook文件隐藏功能
毕业作品网站
09-22 307
提升本进程权限——> 获取目标进程的 PID——> 获得要注入进程的句柄——> 在远程进程中开辟出一段内存——> 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中——> 在被注入进程中创建新线程加载该 dll——> 卸载注入的 dll。(1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”)思路:获得在远程线程中被注入的 Dll 的句柄 —> 卸载 Dll。⑤ 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中。③ 获得要注入进程的句柄。
使用APIHOOK实现进程隐藏
yiyeqinghuasoon
12-27 688
今天翻出一些今年前写的代码。其中一个是09年,我帮一个读研的同学写的一个“无公害恶意”程序。大致要求就是要实现自启动和自我隐藏。我使用的都是些简单的技术,只是实现自我隐藏稍微让我花费了点时间写算法。其实这个算法也很简单,就是大学时候写的从一个单向链表中删除一个元素。 APIhook我这儿就不说了,网上很多开源的代码,我只贴出“删除元素”的代码。 NTSTATUS WINAPI Ho...
[DLL 劫持] 修改 IAT ,让程序启动时加载自己的 DLL
LYSM
11-27 975
请转到以下链接食用 ???? ????:https://www.cnblogs.com/LyShark/p/13697577.html
hook ZwQueryDirectoryFile实现文件隐藏
如鹿渴慕泉水的专栏
05-10 1103
学习了网上《编写驱动拦截NT的API实现隐藏文件目录》这篇文章 参考这篇文章的代码 自己试着写了下 现发出来我调试成功的代码 给需要的朋友们 代码: #include "ntddk.h" typedef BOOLEAN BOOL; typedef unsigned long DWORD; typedef DWORD * PDWORD; typedef unsigned long ULONG;
修改IATHOOK API
mybirdsky的专栏
01-14 835
2007年08月16日 09:30:00 ////write by Gxter////本程序是用寻找并修改(Improt Address Table)的方法来实现HOOK一个API函数#include >windows.h#include >stdio.h#include >tchar.h#define UNICODE#define _UNICODEPIMAGE_DOS_HEADER
APIhook.rar_APIHOOK_api hook_apihook.winso_拦截_进程 数据
09-14
2. **IAT(Import Address Table) Hook**:这是最常见的API Hook方式,通过修改目标进程的导入地址表,将API函数调用重定向到我们自己的函数。 3. **EAT(Export Address Table) Hook**:对于动态链接库(DLL),...
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2577
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
在VB(Visual Basic)环境中实现IAT钩子,可以让开发者能够监控或修改其他程序对特定API的调用。 描述 "Sample for how to hook IAT table" 提供了一个实例,展示了如何挂钩IAT表。这通常包括找到目标程序的IAT,...
基于 IAT hook文件隐藏功能 完整代码+报告
最新发布
01-12
可以用于课程设计、毕业设计、学习参考、完整的代码、 分析 explorer.exe 和 cmd.exe 等可以查看文件目录的系统程序遍历文件实现机制 通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”) (2)代码逻辑: 提升本进程权限——> 获取目标进程的 PID——> 获得要注入进程的句柄——> 在远程进程中开辟出一段内存——> 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中——> 在被注入进程中创建新线程加载该 dll——> 卸载注入的 dll (3)实现细节 ① 提升本进程权限 目的:在操作系统进程时,需要提升自己编写的进程到系统权限,以免发生操作失败现象
HOOK API 实现文件隐藏 源代码
05-08
本人结合HOOK API和远程线程技术实现的一个简单的文件隐藏程序,在应用层实现文件隐藏
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
ROOTKIT 利用hook技术可以隐藏指定的端口 需要以驱动加载的形式把hook加载进内核 这里利用了insdrv工具
通过修改DLL文件IAT表(函数导入表)来实现api hook的源码
03-28
本源码包提供了一种通过修改DLL文件IAT(Import Address Table,函数导入表)来实现API Hook的方法。下面将详细解释相关知识点。 1. API HookAPI Hook允许开发者拦截并替换特定的系统API调用,这样当其他程序...
API钩子(IAT修改方式)
weixin_33935777的博客
05-23 520
在Windows下,主要有两种方式来对系统API调用的拦截,一种是修改PE文件IAT导入表,使API地址重定向;另一种方式就是把在API函数开始地址的机器码改成jmp的指令的机器码,来实现函数的跳转。 一、原理 PE结构的模块(exe/dll/...),有一个IAT表,保存着该模块使用到的API函数的地址,在默认的隐式API调用时,会先跳转到该IAT...
HOOKAPI修改IAT法则
lxslove的专栏
10-29 1989
HOOK是一种WINDOWS下存在很久的技术了。 HOOK一般分两种1。HOOK MESSAGE  2。HOOK API 本问讨论的是HOOK API修改IAT。(如果你是HOOK高手就不要看了) 在最初学HOOK-API的时候通常都是通过覆盖地址和修改IAT的方法。通过这两种技术,我们基本都可以实现对本进程API函数进行HOOK了。但是在高兴之余会有点遗憾,怎么才能HOOK其他进程API
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4267
三个主要的函数:NtQueryDirectoryFile、NtCreateFile、NtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
IAT HOOK
azraelxuemo的博客
01-25 468
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
IAT hook实现 (修改pe中的导入表实现hook)
&Ψ的博客
07-21 1428
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入表,导入表中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入表,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
使用HOOKAPI防止进程被终止的实现方法
"这篇文章主要介绍了如何使用HOOKAPI技术来实现进程的防终止保护,作者首先提到了学习HOOKAPI的初衷是为了监控剪切板,但在实际需求中应用到了进程保护。文章详细阐述了实现进程防终止的步骤,主要包括HOOK ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值