二、C++反作弊对抗实战 (进阶篇 —— 8.认始 EAT IAT HOOK)

最新推荐文章于 2023-09-15 08:55:44 发布
最新推荐文章于 2023-09-15 08:55:44 发布
阅读量724 收藏
点赞数
分类专栏: C++反作弊对抗实战 ASM/WTL/MFC/QT 文章标签: C++ VC IAT HOOK EAT HOOK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangningyu/article/details/123076240
版权
C++反作弊对抗实战 同时被 2 个专栏收录
35 篇文章 104 订阅 ¥29.90 ¥99.00
订阅专栏
ASM/WTL/MFC/QT
270 篇文章 9 订阅
订阅专栏
本文详细介绍了C++中EAT和IAT HOOK的概念及实现,包括IAT HOOK的四个步骤和EAT HOOK的限制。通过示例代码展示了如何进行HOOK,并指出两者在动态加载API时的不同影响。文章最后提到后续将探讨绕过这些HOOK的方法。
摘要由CSDN通过智能技术生成

一、关于EAT/IAT HOOK

1.IAT HOOK 示例

  IAT hook原理是修改导入表中某函数的地址到自己的补丁函数,具体流程如下:
  1. 通过GetProcAddress获取目标函数地址;
  2. 在程序内存中找到所在dll的导入表;
  3. 查找目标函数地址保存的位置;
  4. 把地址修改为自己补丁函数容;码如下(示例):

  代码如下(示例):

#include "stdafx.h"
#include <windows.h>
#include <tchar.h>
#include <cstdio>
#include <ShlObj.h>

typedef int (WINAPI* LPFNMESSAGEBOX)(HWND hWnd, LPCT
了解本专栏 订阅专栏 解锁全文
汪宁宇
关注
专栏目录
订阅专栏
C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1412
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL》
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
2. **Hook_IAT.dll**:这是一个动态链接库文件,通常用于包含钩子函数,以便在运行时注入到其他进程。 3. **passwd.dsp**和**passwd.dsw**:这是Visual Studio项目文件,用于管理和构建C/C++项目。 4. **hooked_pass...
C++ EAT / Hook
07-21 3399
EATIAT比较类似,我相信会IAT的肯定很多,起初我想写在C#上面 不过与 C# 遍历DLL导出函数 的方法很相似,只是两者在内存中的映射方式不同而已 Heh,首先我们需要把DLL映射到地址内存空间去 否则没有办法去置换函数, 当然EAT有一些缺点,它必须在软件调用GetProcAddress函数之前替换DLL中 的函数,所以则出现了对GetProcAddress函数的一个Hook,否
IAT Hook 原理分析与代码编写
CSDN
10-30 4859
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
C++反作弊对抗实战 (进阶篇 —— 7.函数钩子 inline Hook对抗方法)
Koma的主页
03-04 602
提其实在前面的章节已经详细介绍过原理与实现方法,可以点击进入查看 https://blog.csdn.net/wangningyu/article/details/122926215 这里我们给出一个最简单的的方法即可轻易绕过这种inline hook。首先我们在dll函数中直接伪造一个bypass_MessageBoxW函数,并恢复被之前的机器码字节,再跳转至偏移5字节后的地址即可,实现代码如下
EAT/IAT Hook
weixin_30794499的博客
08-21 152
标 题:EAT/IAT Hook 作 者: Y4ng 时 间: 2013-08-21 链 接:http://www.cnblogs.com/Y4ng/p/EAT_IAT_HOOK.html #include <windows.h> #include <shlwapi.h> #include <wchar.h> DWORD MyZwGetC...
C++封装IATHOOK类实例
09-04
C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题中的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
C++基于hook iat改变Messagebox实例
09-04
本实例重点讨论了如何使用C++结合HookIAT(Import Address Table,导入地址表)来改变`MessageBox`函数的行为。 1. **Hook基本概念**: Hook技术主要是通过在函数调用链路中插入自定义的处理代码,使得原本调用...
iat_hook.zip_Want It_iat hook
09-20
This is the project to hook import address table. It is very important to hook import address table. To do this can reverse something what you want. Thanks.
易语言IATEAT Hook例程纯源码
05-19
易语言IATEAT Hook例程纯源码
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
关于反截屏技术(API HOOk实现)
热门推荐
xugangjava的专栏
07-16 1万+
通过全局API Hook实现, 拦截了 GetDC GetWindowDC CreateCompatibleDC ReleaseDC DeleteDC BitBlt StretchBlt WindowFromPoint ChildWindowFromPoint 程序效果 由于gif文件大小限制所以不是很清晰(这里做了特殊处理,不然没法录像,录制gif本
C++反作弊对抗实战 (进阶篇 —— 17.如何内存校验保护代码段、对抗远程线程注入)
Koma的主页
03-05 1145
这一章节将重点介绍如何利用内存校验防止第三方模块或辅助软件恢复我们的HOOK或者篡改任意代码段,配套全程在2.17目录中,本专栏所有内容仅供学习参考,我们应当坚决抵制任何不非行为!
4.4 EAT Hook 挂钩技术
最新发布
CSDN
09-15 4388
EAT(Export Address Table)用于修改动态链接库(DLL)中导出函数的调用。与`IAT Hook`不同,EAT Hook是在DLL自身中进行钩子操作,而不是修改应用程序的导入表。它的原理是通过修改DLL的导出函数地址,将原本要导出的函数指向另一个自定义的函数。这样,在应用程序调用DLL的导出函数时,实际上会执行自定义的函数。与IAT不同是EAT存放的不是函数地址,而是导出函数地址的偏移,使用时需要加上指定Dll的模块基地址,当Hook挂钩之后,所有试图通过导出表获取函数地址的行为都会受到
导出表钩子之EAT HOOK解析
輚至消亡
07-06 3021
EAT HOOKIAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出表的地址(注意这里是RVA要加上ImageBa...
【原创】导出表钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4339
看了combojiang大侠的rootkit专题,发现少了一个导出表钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出表钩子比导入表钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
IAT HOOKEAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5786
导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入表 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出表hook原理跟导入表相同,步骤也差别不大 但是者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
c语言References添加dll,c – 如何修改运行时加载的DLL的导入地址表
weixin_35661054的博客
05-19 273
我想在运行时挂钩从加载的DLL中调用的函数,我使用了“Windows Via C/C++”一书中的CAPIHook类(通过安装系统范围挂钩完成的DLL注入和通过修改IAT挂钩)但是这个只有在可执行文件的IAT中存在DLL名称/符号时,代码才有效. (即用于隐式DLL链接)这是DLL代码:CAPIHook::CAPIHook(PSTR pszCalleeModName,PSTR pszFuncNam...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪宁宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值