检测API函数的InlineHook

最新推荐文章于 2023-06-26 15:42:52 发布
最新推荐文章于 2023-06-26 15:42:52 发布
阅读量187 收藏
点赞数
原文链接:http://www.cnblogs.com/gwsbhqt/p/4682067.html
版权
检测API函数的InlineHook 
 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName)
 2 {
 3     HMODULE hModule = GetModuleHandleA(lpModuleName);
 4     if (NULL == hModule)
 5     {    
 6         hModule = LoadLibraryA(lpModuleName);
 7         if (NULL == hModule)
 8             return -1;
 9     }
10 
11     FARPROC farProc = GetProcAddress(hModule, lpProcName);
12     if (NULL == farProc)
13         return -1;
14 
15     BYTE buffer[5] = {};
16     if (!ReadProcessMemory(GetCurrentProcess(), farProc, &buffer, 5, NULL))
17         return -1;
18 
19     if (buffer[0] == 0x8B && buffer[1] == 0xFF && buffer[2] == 0x55 && buffer[3] == 0x8B && buffer[4] == 0xEC)
20         return FALSE;
21     if (buffer[0] == 0xEB || buffer[0] == 0xE9 || buffer[0] == 0xEA)
22         return TRUE;
23     
24     return -1;
25 }
View Code

注意,此函数只能用于检测系统API的InlineHook,因为使用到了MS的系统API函数的特点: 每个正常系统API的开头前五个字节必为8B FF 55 8B EC,

这是MS为热补丁技术留下的接口,也是Detours库留下的接口,具体可以自行搜索

 

另外判断InlineHook的关键是,buffer第一个字节是否为EB E9 EA,因为直接的JMP分成三种,

Short Jump 短跳转 机器码 EB 只能跳转到256字节的范围内
Near Jump 近跳转 机器码 E9 可跳至同一个段的范围内的地址
Far Jump 远跳转 机器码 EA 可跳至任意地址,使用48位/32位全指针
posted on 2015-07-28 10:26  gwsbhqt 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/gwsbhqt/p/4682067.html

weixin_30500663
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Inline Hook检测模块到驱动
10-16 1364
 by sudami由于项目需要,驱动中要做所有的事情,所以我负责的一个小小的模块自然要全部在驱动中实现;    小小的模块中一个小小的Inline Hook检测部分当然也不例外. 不过是要把某个函数调用链下所有调用过的函数都扫一遍,看是否存在恶意程序的干扰,自然用个深度递归就搞定,可是移植到驱动中,扫描是没问题,就怕那些变态的HOOK恢复不过来,还好,经过一小段时间的算法改进,差不多实现
用开源反汇编引擎检测inline hook
12-10
用开源反汇编引擎检测inline hook
简单的INLINE HOOK检测
cackeme的专栏
09-24 4107
/*  @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
内核所有模块导出函数inlinehook检测
cqyczj的专栏
04-26 1005
主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数inlinehook。所以各种狡诈的inlinehook伎俩(mov eax ,xxxx add eax,xxxx,call eax)是逃不过检测的,除非它修改原始磁盘文件。不过可惜,在比较之前是可以进行md5验证的。若原始磁盘文件被修改,显然是昭然若揭了
InlineHook3(单步异常挂钩,监测调试器行为)
寻梦&之璐
05-11 258
#include <iostream> #include<Windows.h> char* p; int i; void JmpTarget(); void __declspec(naked) IdtEntry() { p = (char*)0x8003f120; for (int i = 0; i < 64; i++) { *p = ((char*)JmpTarget)[i]; p++; } __asm {
apihook,inlinehook
09-12
1. **API Hook的工作原理**:API Hook通常涉及创建一个替代函数(也称为钩子函数),该函数会在原API函数之前或之后执行。这可以通过替换函数指针、使用钩子库或修改系统调用表等方式实现。当原API被调用时,实际上...
APIHook.rar_hook_inline
09-14
相比于传统的函数Hook(如Detour或SetWindowsHookEx),内联Hook更为隐蔽,因为它的修改发生在被Hook函数的本体内,使得检测更为困难。然而,这也意味着内联Hook更具有侵入性,因为它直接修改了目标函数的机器码。 ...
API hook(inline)超简入门代码
07-20
对于x86架构,大多数API函数的第一个指令通常是`call`指令,所以我们只需要将其替换为跳转到我们钩子函数的指令。这一步通常也需要使用汇编语言来完成,因为我们需要精确地操纵目标函数的机器码: ```c void ...
HOOK技术之InLineHOOK源代码
09-02
inline HOOK的核心在于动态修改目标函数的机器指令,将函数调用转向自定义的处理代码(称为HOOK函数)。具体步骤如下: 1. **备份原始代码**:首先,我们需要获取目标函数的地址,并备份原始的函数代码到一个安全的...
InLine Hook 源码
05-01
相比于传统的API Hook(如SetWindowsHookEx)等,InLine Hook具有更高的隐蔽性和效率,因为它避免了函数调用开销,直接在目标函数内部执行挂钩逻辑。 二、InLine Hook原理 InLine Hook的核心是修改目标函数的机器...
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
Inline HOOK
Tandy12356_的博客
05-28 3947
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
躲猫猫,用inline hook来进行验证
For Geek
04-19 196
Hook是一个非常强大的技巧,利用Hook,不仅可以起到监控进程,做自己想做的事,而且可以利用hook来进行一些check。 给出下面的main函数: #include <stdio.h> #include <Windows.h> #pragma warning(disable:4996) //key : ccaaa int main() { char s[256] =...
kernel inline hook 绕过vice检测
03-21 2530
创建时间:2005-11-05文章属性:原创文章提交:jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到
某同学的inline hook检测程序简单逆向分析
10-16 2174
 测试了下,主机上完全不行,虚拟机上运行成功过一次,然后运行了其他的ARK就BSOD的了。没有具体的分析dump文件;检测inline hook的结果不是很完善,且有一部分的错误. 简单说说我对程序的静态分析吧: 1. EXE运行后,得到NtQuerySystemInformation函数地址,传递SystemModuleInformation号获取系统模块信息,取得系
【2021.01.15】INLINE HOOK
oalken的博客
01-15 166
IAT HOOK的缺点 容易被检测。 只能HOOK IAT表中的函数。 例子 #include <Windows.h> #define PATCH_LENGTH 5 DWORD dwHookAddress = NULL; char szNewText[] = "Inline Hook"; void MessageBoxProc(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { //该函数想怎么写怎么写 没有限制
安卓逆向环境检测--hook
最新发布
weixin_44348983的博客
06-26 2109
安卓、逆向、检测
如何识别代码是否被inline了?
fibbery学习笔记
01-15 1161
本文作为帖子《如何知道一个函数在编译后是否被inline了? [》的总结,写入我的学习笔记博客,供需要的人包括自己查阅(好记性不如烂笔头子)。 要知道函数是否被inline,首先要打开编译器的inline功能,其次,要生成汇编代码,查看调用该函数的地方是否被inline。当然,如果在汇编中被inline那么在编译后的程序中一定是inline的;如果汇编中没有被inline,也不能说明函数不会在l
Inline Hook 之(监视任意函数
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
inline hook 如何拦截自己进程的api函数
06-12
要拦截自己进程的 API 函数,可以使用 inline hook 技术。具体步骤如下: 1. 获取要拦截的 API 函数的地址。 2. 在要拦截的 API 函数的前面插入一段跳转指令,跳转到你自己编写的 hook 函数。 3. 在 hook 函数中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值