HOOK钩子技术1 inline HOOK内联钩子

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量4.3k 收藏 5
点赞数
分类专栏: hook 文章标签: 钩子 hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bugmeout/article/details/45441967
版权

内联钩子是对目标函数挂钩,使得挂钩点的指令发生变化,一般使用跳转指令跳到伪造的函数处,而为了实现隐藏,还需要在伪造函数处解钩,等到函数返回前再次挂钩。

src

CILHook.h

#ifndef __ILHook_H_mysymbol
#define _ILHook_H_mysymbol

#include <windows.h>
class CILHook{
public:
    CILHook();
    ~CILHook();

    BOOL Hook(LPSTR pszModuleName,LPSTR pszFuncName,PROC pfnHookFunc);
    VOID UnHook();
    BOOL ReHook();
private:
    PROC m_pfnOrig;
    BYTE m_bOldBytes[5];
    BYTE m_bNewBytes[5];
    #endif
};

CILHook.cpp

#include "ILHook.h"

CILHook::CILHook()
{
    m_pfnOrig = NULL;
    ZeroMemory(m_bOldBytes,5);
    ZeroMemory(m_bNewBytes,5);
}
CILHook::~CILHook()
{
    UnHook();
}

BOOL CILHook::Hook(LPSTR pszModuleName,LPSTR pszFuncName,PROC pfnHookFunc)
{
    BOOL bRet = FALSE;
    m_pfnOrig = (PROC)GetProcAddress(GetModuleHandle(pszModuleName),pszFuncName); //get_fun_addr
    if (m_pfnOrig)
    {
        DWORD dwNum = 0;
        ReadProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bOldBytes,5,&dwNum); //get_content from fun_addr
        m_bNewBytes[0]='\xe9' ; //opcode jmp
        *(DWORD *)(m_bNewBytes+1) =(DWORD)pfnHookFunc  -((DWORD)m_pfnOrig+5);      //AIM_ADDR- (hooked_fun_addr+5)
        WriteProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bNewBytes,5,&dwNum);
        bRet = TRUE;
    }
    return bRet;
}

VOID CILHook::UnHook()
{
    if (m_pfnOrig)
    {
        DWORD dwNum =0;
        WriteProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bOldBytes,5,&dwNum);
    }
}

BOOL CILHook::ReHook()
{
    bool bRet = false;
    if (m_pfnOrig)
    {
        DWORD dwNum = 0;
        WriteProcessMemory(GetCurrentProcess(),m_pfnOrig,m_bNewBytes,5,&dwNum);
        bRet = TRUE;
    }
    return bRet;
}

poc.cpp

#include <stdio.h>
#include "ILHook.h"
CILHook hooker;

int WINAPI MyMessageBox(
                        HWND hwnd,
                        LPCST
最低0.47元/天 解锁文章
BugMeOut
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详谈内核的Inline_Hook实现
11-08
Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline 的时候做的很深,来躲避inline 的检测,前提是必须对函数的流程和指令非常熟悉,且这种深层次的inlline 不具有通用性,稳定性也是问题。本文讨论的是具有通用性的两类inline的实现。
Inline HOOK
Tandy12356_的博客
05-28 3944
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
inlinehook 看这一篇
01-09 3865
inlinehook 代码实战
# inline hook 的几种方式概述----简单介绍而已,没有代码
商少
07-28 1061
inline hook 的几种方式概述       阅读本文之前推荐阅读这篇博客http://blog.csdn.net/masefee/article/details/6326634,里面详细介绍了三种inline hook 的方法并给出了代码实例。 最基本的hook:保存目标函数的前5个字节,然后覆盖其为跳转指令,跳转到我们的代码的位置,在执行完我们的代码之后恢复代码的前5个字节,将函
Hook攻防之InlineHook
xf555er的博客
06-16 1571
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
如何区分ssdt hookinline hook钩子
01-25
2. "HOOK钩子技术5 SSDT Inline Hook_Catch me if you can-CSDN博客":这篇博客文章可能详细讲解了SSDT Inline Hook的实现细节和技术要点。 3. "inline HOOK和SSDT HOOK各自有啥特性的哦-_百度知道":这是一个问答...
断门 内联 钩子断门 内联 钩IDT inline hook
05-04
IDT内联钩子,可以做某些拦截IDT内联钩子,可以做某些拦截
详谈内核的Inline Hook实现.rar
06-17
Inline Hook是代码Hook的一种形式,它利用编译器的内联机制,在函数调用时,将目标函数替换为自定义的钩子函数。与传统的函数指针替换不同,Inline Hook通常在运行时完成,因此具有更高的隐蔽性和效率。然而,由于...
inline hook
07-30
除了inline hook,另一种常见的钩子技术是iat(Import Address Table)钩子,它主要针对动态链接库(DLL)的函数调用。iat钩子通过修改导入地址表,使得函数调用时间接跳转到我们定义的处理函数,然后再转发到原始...
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
ROOTKIT 利用hook技术可以隐藏指定的端口 需要以驱动加载的形式把hook加载进内核 这里利用了insdrv工具
inline hook ldasm
04-13
在Windows系统编程中,"inline hook"(内联钩子)是一种常见的技术,用于拦截和修改其他程序的功能调用。它允许开发者在运行时动态地插入代码到目标函数中,以监控或改变其行为。本篇文章将详细介绍inline hook的...
Inline Hook
Android系统攻城狮
03-07 802
什么是Inline Hook Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表Hook相比,Inline Hook具有更广泛的适用性,几乎可以Hook任何函数,不过其实现更为复杂,考虑的情况更多,并且无法对一些太短的函数Hook。 其基本原理请参阅网上其他资料。 需要解决的问题 Arm模式与T...
inline hook原理和例子
weixin_44600099的博客
04-20 1265
inline hook原理和例子
内联钩子原理
qq_43481350的博客
09-02 399
左侧是一个正常情况下的send函数的调用,右侧是使用了内联钩子以后的调用情况。 对比可以发现右侧的开始会调用jmp函数,jmp指定会跳转到恶意代码的位置执行,恶意代码执行之后会继续执行send函数,最后再用jmp执行跳回去,这样就可以完整执行send函数的功能并且不会被发现。 ...
C/C++:Windows编程—Inline Hook内联钩子(下)
重庆李四
06-10 1671
前言 在上节中介绍了 InlineHook 钩子函数,主要是通过jmp 目标地址(转为机器码E9 偏移量) 来实现的,是修改被Hook函数首地址处的 5个字节的内容。这里再介绍另一种方法,修改被Hook函数首地址处的7字节的内容。我们看下图的汇编指令 之前是jmp 目标地址(5字节),这次是将目标地址放到 eax寄存器中 这里是2条汇编指令(00B417E4-00B417DF = 7字节)。他们...
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
hook钩子 K歌
最新发布
08-26
钩子Hook)是一种编程技术,它允许开发者在软件的特定事件或操作发生时插入自定义代码。通过使用钩子,开发者可以拦截、修改或扩展软件的行为。钩子常用于实现事件监听、键盘鼠标输入的拦截和处理、窗口消息的处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值