二、C++反作弊对抗实战 (进阶篇 —— 8.认始 EAT IAT HOOK)

最新推荐文章于 2023-09-15 08:55:44 发布
最新推荐文章于 2023-09-15 08:55:44 发布
阅读量720 收藏
点赞数
分类专栏: C++反作弊对抗实战 ASM/WTL/MFC/QT 文章标签: C++ VC IAT HOOK EAT HOOK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangningyu/article/details/123076240
版权
C++反作弊对抗实战 同时被 2 个专栏收录
35 篇文章 104 订阅 ¥29.90 ¥99.00
订阅专栏
ASM/WTL/MFC/QT
270 篇文章 9 订阅
订阅专栏
本文详细介绍了C++中EAT和IAT HOOK的概念及实现,包括IAT HOOK的四个步骤和EAT HOOK的限制。通过示例代码展示了如何进行HOOK,并指出两者在动态加载API时的不同影响。文章最后提到后续将探讨绕过这些HOOK的方法。
摘要由CSDN通过智能技术生成

一、关于EAT/IAT HOOK

1.IAT HOOK 示例

  IAT hook原理是修改导入表中某函数的地址到自己的补丁函数,具体流程如下:
  1. 通过GetProcAddress获取目标函数地址;
  2. 在程序内存中找到所在dll的导入表;
  3. 查找目标函数地址保存的位置;
  4. 把地址修改为自己补丁函数容;码如下(示例):

  代码如下(示例):

#include "stdafx.h"
#include <windows.h>
#include <tchar.h>
#include <cstdio>
#include <ShlObj.h>

typedef int (WINAPI* LPFNMESSAGEBOX)(HWND hWnd, LPCT
了解本专栏 订阅专栏 解锁全文
汪宁宇
关注
专栏目录
订阅专栏
C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1406
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL》
C++ EAT / Hook
07-21 3397
EATIAT比较类似,我相信会IAT的肯定很多,起初我想写在C#上面 不过与 C# 遍历DLL导出函数 的方法很相似,只是两者在内存中的映射方式不同而已 Heh,首先我们需要把DLL映射到地址内存空间去 否则没有办法去置换函数, 当然EAT有一些缺点,它必须在软件调用GetProcAddress函数之前替换DLL中 的函数,所以则出现了对GetProcAddress函数的一个Hook,否
EAT/IAT Hook
weixin_30794499的博客
08-21 152
标 题:EAT/IAT Hook 作 者: Y4ng 时 间: 2013-08-21 链 接:http://www.cnblogs.com/Y4ng/p/EAT_IAT_HOOK.html #include <windows.h> #include <shlwapi.h> #include <wchar.h> DWORD MyZwGetC...
IAT HOOKEAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5782
导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入表 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出表hook原理跟导入表相同,步骤也差别不大 但是者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
IAT Hook 原理分析与代码编写
CSDN
10-30 4855
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
EAT Hook
weixin_34261739的博客
10-30 117
EAT Hook typedef int (__stdcall *pfnMessageBoxA)(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,...
C++反作弊对抗实战 (目录篇)
Koma的主页
03-02 2250
在观看此专栏时,强烈推荐你需要有一定的C/C++基础,至少能看懂C++语法、结构体、类等基础概念,以及了解一定win32 api开发基础,否则不建议你强行介入以至于打击了学习热情
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
2. **Hook_IAT.dll**:这是一个动态链接库文件,通常用于包含钩子函数,以便在运行时注入到其他进程。 3. **passwd.dsp**和**passwd.dsw**:这是Visual Studio项目文件,用于管理和构建C/C++项目。 4. **hooked_pass...
脱壳进阶篇——IAT修复与解密
摔不死的笨鸟的博客
12-09 2893
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT中的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
易语言IATEAT Hook例程纯源码
05-19
易语言IATEAT Hook例程纯源码
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
4.4 EAT Hook 挂钩技术
最新发布
CSDN
09-15 4385
EAT(Export Address Table)用于修改动态链接库(DLL)中导出函数的调用。与`IAT Hook`不同,EAT Hook是在DLL自身中进行钩子操作,而不是修改应用程序的导入表。它的原理是通过修改DLL的导出函数地址,将原本要导出的函数指向另一个自定义的函数。这样,在应用程序调用DLL的导出函数时,实际上会执行自定义的函数。与IAT不同是EAT存放的不是函数地址,而是导出函数地址的偏移,使用时需要加上指定Dll的模块基地址,当Hook挂钩之后,所有试图通过导出表获取函数地址的行为都会受到
导出表钩子之EAT HOOK解析
輚至消亡
07-06 3017
EAT HOOKIAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出表的地址(注意这里是RVA要加上ImageBa...
【原创】导出表钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4338
看了combojiang大侠的rootkit专题,发现少了一个导出表钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出表钩子比导入表钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
C++逆向 可变参数Hook
ALLEN'Blog
12-09 547
C++中,可变参数的函数定义可以写成如下格式。用...来声明可变参数。{//Code...}在调用可变参数的函数时,可以在后面不断添加参数,例如。
rootkit hook 之[八]------EAT HOOK
kansa1988的专栏
03-14 485
<br />看了combojiang大侠的rootkit专题,发现少了一个导出表钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章,<br />  <br /> 偶学的东西不久,很多东西还不知道,请多指教,呵呵<br />  <br /> 导出表钩子比导入表钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId这个ntkrnlpa.exe<br />
hook_导出表eat
05-28 781
#include &lt;ntifs.h&gt; #include &lt;ntimage.h&gt; typedef VOID(__stdcall *KEATTACHPROCESS)(IN PRKPROCESS Process); KEATTACHPROCESS OldKeAttachProcess; UCHAR *PsGetProcessImageFileName(IN PEPROCESS ...
C++实现IATHOOK类封装及静态成员应用
"C++封装IATHOOK类实例用于实现对IAT(Import Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统中,IAT是PE(Portable Executable)文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪宁宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值