Windows上的IATHook学习

最新推荐文章于 2021-03-11 21:37:36 发布
最新推荐文章于 2021-03-11 21:37:36 发布
阅读量415 收藏 2
点赞数
原文链接:https://segmentfault.com/a/1190000016852804
版权

简单Demo

IATHook原理
IATHook 是指 hook 某个进程的导入表函数,当程序运行起来后 IAT 会填入该函数实际的内存地址,这个地址通常都在加载的某个 dll 内存中!然后我们修改这个地址值为我们自写函数所在的地址,当系统调用这个 IAT 函数时,就会跳转到我们所写的函数

代码

#include <windows.h>
#include <string.h>
#include <stdio.h>

int WINAPI MessageBoxPro(HWND hWnd,LPCTSTR lpText,LPCTSTR lpCaption,UINT uType){
    printf("IATHook Success\n");
    system("pause");
    return 0;  
}

int main(){
    HMODULE hmod;
    PIMAGE_DOS_HEADER pdos;
    PIMAGE_NT_HEADERS pnt;
    PIMAGE_OPTIONAL_HEADER popt;
    PIMAGE_IMPORT_DESCRIPTOR piid;
    PIMAGE_THUNK_DATA pfuncname_addr,pfunc_addr;
    DWORD dwOldProtect,dwNewProtect;

    DWORD* repAddr = (DWORD *)MessageBoxPro; // 务必得转换一下
    hmod = GetModuleHandle(NULL);
    pdos = (PIMAGE_DOS_HEADER)hmod;
    pnt = (PIMAGE_NT_HEADERS)((PBYTE)hmod + pdos->e_lfanew);
    popt = (PIMAGE_OPTIONAL_HEADER)(&(pnt->OptionalHeader));
    piid = (PIMAGE_IMPORT_DESCRIPTOR)((BYTE *)hmod+popt->DataDirectory[1].VirtualAddress); // Base_addr + RVA_addr
    
    MessageBox(NULL,"HelloWorld","Title",MB_OK);
    while(piid->FirstThunk){
        pfuncname_addr = (PIMAGE_THUNK_DATA)((BYTE *)hmod + piid->OriginalFirstThunk);
        pfunc_addr = (PIMAGE_THUNK_DATA)((BYTE *)hmod + piid->FirstThunk);
        // char* pdll_name = (char *)((BYTE *)hmod + piid->Name);
        // printf("%s\n",pdll_name);
        while(pfuncname_addr->u1.Function){
            char* func_name = (char *)((BYTE *)hmod + pfuncname_addr->u1.AddressOfData+2);
            DWORD *lpAddr = (DWORD *)&pfunc_addr->u1.AddressOfData;
            if(!strcmp(func_name,"MessageBoxA")){
                VirtualProtect(lpAddr,4,PAGE_EXECUTE_READWRITE,&dwOldProtect);
                WriteProcessMemory((HMODULE)-1,lpAddr,&repAddr,4,NULL); // 修改地址的第一种方式
                // *lpAddr = repAddr; // 修改地址的第二种方式
            }
            VirtualProtect(lpAddr,4,dwOldProtect,&dwNewProtect);
            pfuncname_addr++;
            pfunc_addr++;
        }
        piid++;
    }
    MessageBox(NULL,"HelloWorld","Title",MB_OK);
    return 0;
}

说明
修改 IAT 地址可以赋值修改,也还可以用WriteProcessMemory函数修改!千万别忘了用VirtualProtect来修改内存页的属性,不然无法成功写入!需要注意函数名的类型转换以及指针的合理使用!最后就是尽量编译成 32 位程序,如要编译成 64 位程序需要自行修改变量类型,当然不改也是可以运行的!

运行结果


进阶Demo

待续...

END

_miccretti
关注
windows - Hook技术介绍
tuan8888888的博客
10-13 1800
hook 介绍 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。 分类 1、 SetWindowsHookEx Windows下的应用程序大部分都是基于消息机制的,它们都会有一个消息过程函数,根据不同的消息完成不同的功能。Windows操作系统提供的钩
Delphi IATHook API
10-09
**Delphi IATHook API 知识点详解** 在编程领域,API Hook是一种技术,它允许程序员拦截并修改其他程序对特定API(应用程序接口)的调用。在Delphi环境中,IATHook(Import Address Table Hook)是实现API Hook的一...
windowsIAT hook
01-18 121
。 转载于:https://www.cnblogs.com/beyond-Acm/p/4232120.html
windows hookIAT
qingheuestc的专栏
06-06 1866
转载请注明出处http://blog.csdn.net/qingheuestc/article/details/6527991,并保证文章完整性,by Einstein In Ict。       程序员通过使用微软提供的api不仅可以方便的实现绝大多数的编程任务,同时也不必与繁琐的计算机硬件直接打交道。出于某些工程上的需求,有时我们需要在调用某个api的时候做一些额外的工作(比如采集或
Windows HOOK学习(一):简单的IAT HOOK
weixin_42777366的博客
03-27 1005
(若文章有误的请放过,请在留言区告诉我修改一下) 1. 前言 由于毕设项目的需要,从一个毫无基础的小白(只会C语言基础,windows核心编程,汇编都一窍不通,学的很艰难啊),开始慢慢写Hook,记录一下学习过程和成果。 顺便梳理一下学到的知识。 2.准备工作 要学习Hook,当然首先要准备了解一下基础知识和准备编译器啦。 DLL:全名是Dynamic Link Library(动态链接库)。作用...
Windows Practice_Dll&Hook_封装IAT Hook
艺术人生的专栏
09-24 394
进程保护器的实现本程序实现了一个简单的暴力的进程保护器,其原理也很简单,就是修改导入表,挂钩TerminateProcess函数,因为这个函数可以远程无条件的结束其它进程,所以我们要挂钩这个函数。 因为每一个程序都有可能结束要保护的程序,所以我们必须以Dll的形式注入到每一个进程中,这就涉及到注入的问题了,而Windows给我们提供了一个简单的全局挂钩的函数,即SetWindowsHook函数。
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
标题 "iat_hook.zip" 涉及的是IAT(Import Address Table)钩子技术,这是一种在Windows编程中常用于拦截函数调用的技术。IAT钩子通常与逆向工程、调试和安全研究有关。在VB(Visual Basic)环境中实现IAT钩子,可以...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
最新发布
09-24
标题中的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
C++基于hook iat改变Messagebox实例
09-04
Windows程序设计中,Hook技术是一种非常重要的调试和拦截机制,它允许开发者在不修改目标程序源代码的情况下,改变或扩展程序的行为。本实例重点讨论了如何使用...这对于深入学习Windows编程和逆向工程十分有帮助。
IAT(import address table) hook C++实例
09-13
学习这个实例,你需要理解PE文件格式、内存管理和汇编语言的基础知识,这对于深入理解Windows编程和系统级调试至关重要。同时,了解如何在C++中进行内存操作和处理底层系统调用也是必要的。实践这个例子可以帮助你...
X64 Iat Hook msimg32 源码
12-17
X64 Iat Hook msimg32 源码 for win x64 vs2010编译
应用层IAT hook
11-01
应用层R3 IAT hook代码实现
20171011WindowsPrj08_03IAT Hook
蒲公英的博客
10-11 319
IAT Hook:     IAT:就是一张函数导入表,DLL的加载分为动态加载和静态加载,静态加载是不需要指定DLL,它包含在PE结构中,里面指出了这个EXE需要使用哪些DLL名,DLL里面的那些函数。下面为PE结构表:如果看不清,可以将图片另存到自己电脑,然后打开看。 PE结构: 1:每个E和XE和DLL文件都有自己的PE头,里面包含了DOS头和PE头,PE头里面包含了NT头和O
WindowsAPI解析IAT地址
迪迦 • 奥特曼
09-18 283
#include <stdio.h> #include <windows.h> int main(int argc,char* argv[]){ /* typedef struct _IMAGE_IMPORT_DESCRIPTOR { union{ DWORD Characteristics; ...
IAT_HOOK
心之所向,身之所往
05-25 649
使用IAT  HOOK 截获MessageBox函数 步骤如下 1..写一个自己的MessageBox 函数 注意调用约定为 __stdcall、、 2..定义一MessageBox函数指针如下 typedef int (__stdcall *pOldMBox)(HWNDhWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uType); 3..遍历本
IAT HOOK
weixin_44711063的博客
03-11 632
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
C++ Hook IAT (基于IATHook实践)
一个工具的觉悟
10-07 5278
本实践基于HookImportFunction.cpp(h), 源自星际译王,代码附后 一. 使用方式   本实践由测试主程序部分与测试dll两部分组成,分别编译成功后,先运行test.exe,再使用dll注入工具将hookTest.dll注入到test.exe中,回车运行。 二. 测试主程序(test.exe) 1. 创建Win32控制台空项目文件 2. 创建应用程序入口文件(main
封装的IATHOOK类的使用
小驹的专栏
06-15 1495
代码不稳定,对WINDOW 7不稳定,对XP也不稳定,木有意义,各位看官绕过吧。。  1. 主程序使用了对话框的框架 2. 把IATHOOK类封装成DLL,在初始化时加载DLL,使用DLL的导出函数,此函数HOOK了MESSAGE消息。。。与此同时,此DLL会在加载的时候创建全局的IATHOOK类,把常见的几个函数LoadLibraryA,LoadLibraryW,LoadLibrar
IAT-Hook 劫持进程Api调用
笔记本
05-28 2636
✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook的实现代码,后续再更新复制原始API部分代码的热补丁Hook和SSDT-Hook T_T 本来昨...
C++实现IATHOOK类封装及静态成员应用
"C++封装IATHOOK类实例用于实现对IAT(Import Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统中,IAT是PE(Portable Executable)文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值