C++ EAT / Hook

最新推荐文章于 2023-09-15 08:55:44 发布
VIP文章 最新推荐文章于 2023-09-15 08:55:44 发布
阅读量3.3k 收藏
点赞数 2
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012395622/article/details/46984679
版权

EAT与IAT比较类似,我相信会IAT的肯定很多,起初我想写在C#上面 不过与

C# 遍历DLL导出函数 的方法很相似,只是两者在内存中的映射方式不同而已

Heh,首先我们需要把DLL映射到地址内存空间去 否则没有办法去置换函数,

当然EAT有一些缺点,它必须在软件调用GetProcAddress函数之前替换DLL中

的函数,所以则出现了对GetProcAddress函数的一个Hook,否则只可改变

GetProcAddress返回的内容、是不是感到很惆怅

 

EAT全称为“Export address table”其核心则是利用PE与DLL的一些相关特性

实现的一个技术 首先我们通过LoadLibraryA函数把一个有效的DLL映射到内

存中,PE文件中第一个字节是MS-DOS信息头即IMAGE_DOS_HEADER

 

IMAGE_NT_HEADER = (pDosHearder + pDosHearder->e_lfanew);

// IMAGE_NT_HEADER::OptionalHeader

pOptionalHeader = (pDosHearder + pDosHearder->e_lfanew + 24);

上面是x86的一个OptionalHeader的对称,这里是不想再多做一次转换直接

跳过去会很快捷、所以加上24但恰

最低0.47元/天 解锁文章
苏璃
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二、C++反作弊对抗实战 (进阶篇 —— 8.认始 EAT IAT HOOK)
Koma的主页
03-04 690
IAT与EAT HOOK示例
C#/C++关于Hook的使用方法
08-09
自己研究钩子和Dll写的,包括C#和C++中钩子的使用和Dll打包的方法,例子融合了托管和非托管的Dll如何打包和使用。例子都比较全面。适合新手学习交流。
导出表钩子之EAT HOOK解析
輚至消亡
07-06 2934
EAT HOOK与IAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出表的地址(注意这里是RVA要加上ImageBa...
8种HOOK技术
liuhaidon1992的博客
01-07 5311
1.IAT_HOOK IAT是程序中存储导入函数地址的数据结构,如果HOOK了导入函数地址。就可以在函数调用的时候,将函数流程HOOK到我们指定的流程。但是我个人觉得这种方式最好要结合DLL注入的方式,如果单纯的使用HOOK,那么就需要将需要执行的操作的shellcode写入目标进程,如果操作复杂,可能需要的shellcode量特别大,所以我们需要借助DLL注入,这样就将我们需要执行的代码写入...
c++ hook例子_Python之Hook设计
weixin_39825854的博客
11-26 449
本文使用 Zhihu On VSCode 创作并发布Hook设计描述Hook,又称钩子,在C/C++中一般叫做回调函数。一个钩子方法由一个抽象类或具体类声明并实现,而其子类可能会加以扩展。通常在父类中给出的实现是一个空实现(可使用virtual关键字将其定义为虚函数),并以该空实现作为方法的默认实现,当然钩子方法也可以提供一个非空的默认实现.钩子是从功能角度描述这种编程模式,回调则是从函数调用时间...
4.4 EAT Hook 挂钩技术
CSDN
09-15 4315
EAT(Export Address Table)用于修改动态链接库(DLL)中导出函数的调用。与`IAT Hook`不同,EAT Hook是在DLL自身中进行钩子操作,而不是修改应用程序的导入表。它的原理是通过修改DLL的导出函数地址,将原本要导出的函数指向另一个自定义的函数。这样,在应用程序调用DLL的导出函数时,实际上会执行自定义的函数。与IAT不同是EAT存放的不是函数地址,而是导出函数地址的偏移,使用时需要加上指定Dll的模块基地址,当Hook挂钩之后,所有试图通过导出表获取函数地址的行为都会受到
【原创】导出表钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4306
看了combojiang大侠的rootkit专题,发现少了一个导出表钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出表钩子比导入表钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
IAT HOOKEAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5686
导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入表 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出表hook原理跟导入表相同,步骤也差别不大 但是二者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
IAT Hook 原理分析与代码编写
CSDN
10-30 4810
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
易语言IAT和EAT Hook例程纯源码
05-19
易语言IAT和EAT Hook例程纯源码
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
C++全局键盘鼠标Hook
04-27
C++全局键盘鼠标钩子程序HOOK,也可以注入到单一程序.。C++全局键盘鼠标钩子程序HOOK,也可以注入到单一程序.。
C++封装IATHOOK类实例
09-04
主要介绍了C++封装IATHOOK类的实现方法,对IAT的HOOK实例进行了封装,非常具有实用价值,需要的朋友可以参考下
C++Hook发包函数核心代码
09-03
C++Hook发包函数核心代码 游戏辅助专用 不得不学 杀猪的
C++X64超级Hook源码
08-10
C++X64超级Hook源码,直接带工程,打开编译直接可用。
c++ 虚函数_弄清楚了这四个关键词,也就弄懂了C++语言中的虚函数
weixin_39524741的博客
11-02 163
上一节基于一个简单的实例讨论了C++语言中的虚函数,我们提到了“动态绑定”这个词,大意就是动态绑定在很大程度上满足了虚函数的特性,从而支持了C++的多态性。不过我们知道,C++是一门强类型的语言,它是如何在保持静态类型的同时,实现动态绑定的呢?如何在保持静态类型的同时,实现动态绑定的呢?“静态”VS“动态”在C++语言中,对象指针一般能够提供两种类型信息:指针本身的类型指针指向类的类型鉴于指针指向...
c++ 64远程 hook
最新发布
01-20
远程hook是一种通过操纵目标主机的操作系统或应用程序来监控、修改或重定向其行为的技术。c 64远程hook是在C语言编写的64位操作系统上实施远程hook的一种方法。 远程hook的基本原理是通过修改目标主机的代码或数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值