二、C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)

最新推荐文章于 2024-05-15 09:06:07 发布
最新推荐文章于 2024-05-15 09:06:07 发布
阅读量1.3k 收藏
点赞数
分类专栏: C++反作弊对抗实战 文章标签: C++ VC 内存加载dll 加载资源dll 绕过hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangningyu/article/details/123180946
版权
C++反作弊对抗实战 专栏收录该内容
35 篇文章 102 订阅 ¥29.90 ¥99.00
订阅专栏

   下面是成功绕过inline hook的运行效果:

一、前言

   在前面的章节中讲述了inline hook、iat hook、seh/veh hook等原理以及代码实现,也在讲述inline hook时顺带提到过伪造函数头+偏移5字节的方式绕过inline hook,这种方式毕竟有点“非主流”了。

   在通常情况下任何反作弊或者作弊器都不会大大咧咧的直接调用那些关键的API函数,他们大多会采取内存加载DLL+重定向修复这些文件以保证这个DLL导出函数是绝对“干净”的,从而保证后面的反作弊强度。早期在写那套反作弊系统的时候,为了在一定程度上保证自己调用的Windows API函数是“干净”的,几乎构建了大部分的函数指针库,这里为了防止大家重复编写这些函数指针,在例程里虽然没用到我也全部拷贝进去了,下面是其中的z_user32.h的头文件:


                

        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        

    

      

        

            

              
                
                  汪宁宇
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
DLL内存加载

				
			

			

				

					天使也掉毛
				

				

					11-19
					
					6986
					
				

			

		

		

			
				
动态加载dll
功能:
     把一个处于内存里的dll直接加载并且使用。
用途:
     免杀(静态文件查杀),外挂(防止游戏自己hook了loadlibrary等函数),以及其他。
原理: 
    假设目前处于内存里的dll是A,然后开辟一个新的内存空间B,根据A的文件头等相关信息,把B看做是加载内存。
然后把数据拷贝到B里,并且对齐相关节,然后修正iat等相关。然后在手动

			
		

	



                

              
                



	

		

			

				
					
内存加载DLL完整代码及示例

				
			

			

				

					11-07
				

			

		

		

			
				
这是一个从内存资源形式)直接加载并调用DLL中函数的例子。

xDll工程只是一个测试用的dll,附上代码,编译出的xDll.dll直接放在testLoadDll工程目录下

testLoadDll是实际测试代码,从资源直接加载Dll并调用其导出函数

加载用MemoryLoadLibrary()
查找导出函数用MemoryGetProcAddress()
释放时用MemoryFreeLibrary

详情请见代码。


              by achillis
              QQ:344132161

			
		

	



                


  
              

                


	

		

			

				
					
内存加载DLL运行

				
			

			

				

					11-16
				

			

		

		

			
				
内存加载DLL运行内存加载DLL运行内存加载DLL运行内存加载DLL运行内存加载DLL运行

			
		

	





	

		

			

				
					
C++DLL加载方式

					
最新发布

				
			

			

				

					qq_46049113的博客
				

				

					05-15
					
					828
					
				

			

		

		

			
				
DLL 的使用提供了模块化和资源共享的强大能力,使得软件开发更加灵活和内存效率更高。通过隐式或显式链接,开发者可以选择最适合他们需求的加载方式,利用操作系统的能力来优化应用程序的性能和资源使用。同时,共享代码和资源的能力意味着应用程序可以在运行时共享和协调它们的行为,而不是冗余地加载相同的功能。隐式链接的优势在于简单和自动化,适用于依赖关系固定且稳定的场景。显式链接的优势在于灵活性和控制力,适用于需要运行时决策、减少初始化负担或处理可选功能的场景。

			
		

	



		

			
		



	

		

			

				
					
C++DLL文件加载的两种方式

				
			

			

				

					weixin_44984705的博客
				

				

					09-22
					
					2759
					
				

			

		

		

			
				
关于C++加载DLL文件的方式

			
		

	





	

		

			

				
					
MemDllLoader:加载内存当中的DLL文件

				
			

			

				

					04-27
				

			

		

		

			
				
MemDllLoader
加载内存当中的DLL文件
使用C++语言,详情请看例子。
支持:
装载内存当中的DLL(需要两个参数,内存地址以及长度)
寻找DLL函数地址(需要装载以后使用)
不同版本,例如32位、64位使用方式类似。动态链接(需要msvcrt的dll,即为/MD,默认都是这个方式)使用动态链接版本,静态链接使用静态链接版本。

			
		

	





	

		

			

				
					
内存加载作为资源DLL文件

				
			

			

				

					10-09
				

			

		

		

			
				
次封装动态库时,如果想把多个动态库包含在一起,需要以资源的方式添加封装,在使用的时候有两种方法:1.释放DLL到本地,然后load;2.直接load资源中的DLL;第一种方式有可能造成被封装的DLL泄露,此代码介绍第种方式加载

			
		

	





	

		

			

				
					
内存注入(IAT HookInline Hook)

				
			

			

				

					06-02
				

			

		

		

			
				
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数

			
		

	





	

		

			

				
					
C++封装IATHOOK类实例

				
			

			

				

					09-04
				

			

		

		

			
				
C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...

			
		

	





	

		

			

				
					
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子

				
			

			

				

					09-14
				

			

		

		

			
				
标签 "iat hook_iat iat_hook iat_sample vb中_iat的例子" 强调了关键词"iat hook"、"iat"、"hook_iat"以及"vb中_iat的例子",这些都是关键概念。"iat hook"是挂钩IAT的过程,"iat"指的是导入地址表,"hook_iat"可能...

			
		

	





	

		

			

				
					
IAT+HOOK+纯手工出品+适合新手学习.zip

				
			

			

				

					03-08
				

			

		

		

			
				
2.当PE文件加载内存的时候,导入表内保存的需要导入的函数列表,会被释放到内存,同时IAT表中原来的xx会被系统修改为真实的地址.  比如messagebox的真实地址就会被保存到进程空间的IAT表中!从此就不变了,除非重启.  3...

			
		

	





	

		

			

				
					
C++基于hook iat改变Messagebox实例

				
			

			

				

					09-04
				

			

		

		

			
				
本实例重点讨论了如何使用C++结合HookIAT(Import Address Table,导入地址表)来改变`MessageBox`函数的行为。  1. **Hook基本概念**:  Hook技术主要是通过在函数调用链路中插入自定义的处理代码,使得原本调用...

			
		

	





	

		

			

				
					
c++ 载入内存dll ,以及内存注入

				
			

			

				

					weixin_30902675的博客
				

				

					09-05
					
					957
					
				

			

		

		

			
				
c++ 许多代码都得自己写, 这里是我自己修改的一个内存载入的一个封装库 , c++ 的程序员可以直接拿来用

特点如下:
直接在内存中载入,无磁盘占用
支持加壳保护的dll , 平时用的最多的vmp ,其它壳子还请自己测试
无模块载入, 因为重写了loadlibary ,如需要请自己注册
支持注入到目标进程,前提请先使用相应权限打开目标

对原代码的修改如下:
使用内联汇...

			
		

	





	

		

			

				
					
C++嵌入DLL资源运行释放的问题

				
			

			

				

					kikaylee的专栏
				

				

					09-16
					
					6363
					
				

			

		

		

			
				
以前写过一篇博文C#嵌入dll资源释放的问题。虽然相对于C#,C++中嵌入DLL到程序资源中,然后再释放出来的应用场合并没有那么多,但是还是有必要了解下一般的过程。结合本人在实际工作中解决此类问题的实践思路,这里介绍下最基本的一种解决方案。1 嵌入DLL资源有些程序运行的时候,可能调用外部的DLL,用户使用时可能会不小心丢失这些DLL,导致程序无法正常运行,因此可以考虑将这些DLL嵌入到资源中,

			
		

	





	

		

			

				
					
vs使用未初始化的内存怎么解决_C/C++教程,详解C/C++中的内存四区

				
			

			

				

					weixin_39940714的博客
				

				

					11-22
					
					4034
					
				

			

		

		

			
				
1 代码区存放 CPU 执行的机器指令。通常代码区是可共享的(即另外的执行程序可以调用它),使其可共享的目的是对于频繁被执行的程序,只需要在内存中有一份代码即可。代码区通常是只读的,使其只读的原因是防止程序意外地修改了它的指令。另外,代码区还规划了局部变量的相关信息。总结:你所写的所有代码都会放入到代码区中,代码区的特点是共享和只读。2 全局区全局区中主要存放的数据有:全局变量、静态变量、常量(如...

			
		

	





	

		

			

				
					
c++内存加载 exe/dll (不使用CreateProcess、LoadLibrary 等 API)

				
			

			

				

					墨鱼菜鸡
				

				

					06-24
					
					662
					
				

			

		

		

			
				
背景 
在网上搜索了很多病毒木马的分析报告,看了一段时间后,发现还是有很多病毒木马都能够模拟PE加载器,把DLL或者是EXE等PE文件,直接从内存中直接加载到自己的内存中执行,不需要通过API函数去操作,以此躲过一些杀软的...

			
		

	





	

		

			

				
					
c++ dll注入

				
			

			

				

					qq_35349673的博客
				

				

					06-03
					
					749
					
				

			

		

		

			
				
c++ dll注入,

			
		

	





	

		

			

				
					
C++dll链接库的显示(动态)调用和隐式(静态)调用

					
热门推荐

				
			

			

				

					LUCKYOJ
				

				

					10-22
					
					1万+
					
				

			

		

		

			
				
C++调用dll链接库的方式有两种:动态调用(又叫显示调用)、静态调用(又叫隐式调用)。


一、静态调用dll
    静态调用,又称隐式调用。由编译系统完成对DLL加载和应用程序结束时DLL卸载的编码,Windows操作系统会负责控制DLL导入内存的次数。这种调用方式简单,能够满足通常的要求。通常采用的方法是把产生动态连接库时产生的.LIB文件加入到应用程序的工程中,想使用DLL中的

			
		

	





	

		

			

				
					
"分析卡巴斯基HOOK引擎:反病毒软件技术综述

				
			

			

				

					
				

			

		

		

			
				
本文通过分析卡巴斯基PURE3.0 Total Security的HOOK引擎技术,针对操作系统为32位的Windows7专业版。本文将主要讨论用户空间进程、内联HOOKIAT和EAT、虚拟地址描述符、隐藏注册表项、IDT、SSDT、MINI-FILTER、IRP...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
汪宁宇

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值