单进程机器码hook_如何通过API HOOK修改机器码

最新推荐文章于 2022-12-02 02:39:54 发布
最新推荐文章于 2022-12-02 02:39:54 发布
阅读量767 收藏
点赞数
文章标签: 单进程机器码hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39555179/article/details/111533288
版权
本文详细介绍了如何通过API Hook技术来修改单进程的机器码,结合具体的汇编代码示例,展示了创建文件、设备I/O控制等关键步骤,并探讨了与读取注册表的不同之处。
摘要由CSDN通过智能技术生成

0049070E   .  83C4 0C       add esp,0xC

00490711   .  8D8C24 900000>lea ecx,dword ptr ss:[esp+0x90]

00490718   .  33F6          xor esi,esi

0049071A   .  53            push ebx                                 ; /hTemplateFile

0049071B   .  53            push ebx                                 ; |Attributes

0049071C   .  6A 03         push 0x3                                 ; |Mode = OPEN_EXISTING

0049071E   .  53            push ebx                                 ; |pSecurity

0049071F   .  6A 03         push 0x3                                 ; |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE

00490721   .  68 000000C0   push 0xC0000000                          ; |Access = GENERIC_READ|GENERIC_WRITE

00490726   .  51            push ecx                                 ; |FileName

00490727   .  FF15 14D24C00 call dword ptr ds:[; \CreateFileW

0049072D   .  83F8 FF       cmp eax,-0x1

00490730   .  894424 08     mov dword ptr ss:[esp+0x8],eax

00490734   .  75 0B         jnz XPureEngl.00490741

00490736   .  5E            pop esi

00490737   .  33C0          xor eax,eax

00490739   .  5B            pop ebx

0049073A   .  81C4 DC060000 add esp,0x6DC

00490740   .  C3            retn

00490741   >  55            push ebp

00490742   .  57            push edi

00490743   .  8D5424 14     lea edx,dword ptr ss:[esp+0x14]

00490747   .  8B2D 24D14C00 mov ebp,dword ptr ds:[;  KERNEL32.DeviceIoControl

0049074D   .  53            push ebx                                 ; /pOverlapped

0049074E   .  52            push edx                                 ; |pBytesReturned

0049074F   .  8D8C24 880000>lea ecx,dword ptr ss:[esp+0x88]          ; |

00490756   .  6A 18         push 0x18                                ; |OutBufferSize = 18 (24.)

00490758   .  51            push ecx                                 ; |OutBuffer

00490759   .  53            push ebx                                 ; |InBufferSize

0049075A   .  53            push ebx                                 ; |InBuffer

0049075B   .  68 80400700   push 0x74080                             ; |IoControlCode = SMART_GET_VERSION

00490760   .  50            push eax                                 ; |hDevice

00490761   .  FFD5          call ebp                                 ; \DeviceIoControl

00490763   .  85C0          test eax,eax

00490765   .  0F84 60020000 je PureEngl.004909CB

0049076B   .  8A9424 830000>mov dl,byte ptr ss:[esp+0x83]

00490772   .  3AD3          cmp dl,bl

00490774   .  0F86 51020000 jbe PureEngl.004909CB

0049077A   .  B9 09000000   mov ecx,0x9

0049077F   .  33C0          xor eax,eax

00490781   .  8D7C24 30     lea edi,dword ptr ss:[esp+0x30]

00490785   .  80E2 10       and dl,0x10

00490788   .  F3:AB         rep stos dword ptr es:[edi]

0049078A   .  B9 84000000   mov ecx,0x84

0049078F   .  8DBC24 D80000>lea edi,dword ptr ss:[esp+0xD8]

00490796   .  F3:AB         rep stos dword ptr es:[edi]

00490798   .  F6DA          neg dl

0049079A   .  1AD2          sbb dl,dl

0049079C   .  53            push ebx                                 ; /pOverlapped

0049079D   .  80E2 B5       and dl,0xB5                              ; |

004907A0   .  8D4C24 34     lea ecx,dword ptr ss:[esp+0x34]          ; |

004907A4   .  66:AB         stos word ptr es:[edi]                   ; |

004907A6   .  80C2 EC       add dl,0xEC                              ; |

004907A9   .  885C24 38     mov byte ptr ss:[esp+0x38],bl            ; |

004907AD   .  885424 3E     mov byte ptr ss:[esp+0x3E],dl            ; |

004907B1   .  8D5424 18     lea edx,dword ptr ss:[esp+0x18]          ; |

004907B5   .  AA            stos byte ptr es:[edi]                   ; |

004907B6   .  52            push edx                                 ; |pBytesReturned

004907B7   .  8B5424 18     mov edx,dword ptr ss:[esp+0x18]          ; |

004907BB   .  8D8424 E00000>lea eax,dword ptr ss:[esp+0xE0]          ; |

004907C2   .  68 13020000   push 0x213                               ; |OutBufferSize = 213 (531.)

004907C7   .  50            push eax                                 ; |OutBuffer

004907C8   .  6A 23         push 0x23                                ; |InBufferSize = 23 (35.)

004907CA   .  51            push ecx                                 ; |InBuffer

004907CB   .  68 88C00700   push 0x7C088                             ; |IoControlCode = SMART_RCV_DRIVE_DATA

004907D0   .  52            push edx                                 ; |hDevice

004907D1   .  C64424 55 01  mov byte ptr ss:[esp+0x55],0x1           ; |

004907D6   .  C64424 56 01  mov byte ptr ss:[esp+0x56],0x1           ; |

004907DB   .  885C24 57     mov byte ptr ss:[esp+0x57],bl            ; |

004907DF   .  885C24 58     mov byte ptr ss:[esp+0x58],bl            ; |

004907E3   .  C64424 59 A0  mov byte ptr ss:[esp+0x59],0xA0          ; |

004907E8   .  885C24 5C     mov byte ptr ss:[esp+0x5C],bl            ; |

004907EC   .  C74424 50 000>mov dword ptr ss:[esp+0x50],0x200        ; |

004907F4   .  FFD5          call ebp                                 ; \DeviceIoControl

004907F6   .  85C0          test eax,eax

004907F8   .  0F84 CD010000 je PureEngl.004909CB

004907FE   .  8D8C24 EC0200>lea ecx,dword ptr ss:[esp+0x2EC]

00490805   .  8D8424 E80000>lea eax,dword ptr ss:[esp+0xE8]

0049080C   .  BA 00010000   mov edx,0x100

00490811   >  33F6          xor esi,esi

00490813   .  83C1 04       add ecx,0x4

00490816   .  66:8B30       mov si,word ptr ds:[eax]

00490819   .  83C0 02       add eax,0x2

0049081C   .  8971 FC       mov dword ptr ds:[ecx-0x4],esi

0049081F   .  4A            dec edx

00490820   .^ 75 EF         jnz XPureEngl.00490811

00490822   .  33C0          xor eax,eax

00490824   .  8D8C24 140300>lea ecx,dword ptr ss:[esp+0x314]

0049082B   .  894424 18     mov dword ptr ss:[esp+0x18],eax

0049082F   .  BE 0A000000   mov esi,0xA

00490834   .  894424 1C     mov dword ptr ss:[esp+0x1C],eax

00490838   .  894424 20     mov dword ptr ss:[esp+0x20],eax

0049083C   .  894424 24     mov dword ptr ss:[esp+0x24],eax

00490840   .  894424 28     mov dword ptr ss:[esp+0x28],eax

00490844   .  884424 2C     mov byte ptr ss:[esp+0x2C],al

00490848   >  8B11          mov edx,dword ptr ds:[ecx]

0049084A   .  83C1 04       add ecx,0x4

0049084D   .  C1EA 08       shr edx,0x8

00490850   .  8890 40215000 mov byte ptr ds:[eax+0x502140],dl

00490856   .  8A51 FC       mov dl,byte ptr ds:[ecx-0x4]

00490859   .  40            inc eax

0049085A   .  8890 40215000 mov byte ptr ds:[eax+0x502140],dl

00490860   .  40            inc eax

00490861   .  4E            dec esi

00490862   .^ 75 E4         jnz XPureEngl.00490848

00490864   .  8D48 FF       lea ecx,dword ptr ds:[eax-0x1]

抱歉

代码好多的

我认为VC取机器码都是 差不多

这个程序没有读取注册表上的那几个

weixin_39555179
关注
进程机器码hook_HOOK技术的一些简总结
weixin_33533460的博客
12-29 1092
好久没写博客了, 一个月一篇还是要尽量保证,今天谈下Hook技术。在Window平台上开发任何稍微底层一点的东西,基本上都是Hook满天飞, 普通应用程序如此,安全软件更是如此, 这里简记录一些常用的Hook技术。基本上做Windows开发都知道这个API, 它给我们提供了一个拦截系统事件和消息的机会, 并且它可以将我们的DLL注入到其他进程。但是随着64位时代的到来和Vista之后的UAC机制...
进程机器码hook_简HOOK流程
weixin_39654823的博客
12-19 524
HOOKHOOK是程序设置中最为灵活多变的技巧之一,HOOK含义:1. 系统提供的消息HOOK机制2. 自定义HOOK编程技巧其中第一条系统提供的消息HOOK机制,是由一系列的API提供的一种服务,这个系列的API可以完成大多数应用程序关键节点的HOOK操作,为此Windows为每种HOOK类型维护了一个钩子链表,我们可以通过一个系统API来完成对整个系统中的所有符合此机制的关键点的H...
hook wmi 修改机器码
12-23
通过wmi获取机器码的程序都要修改。有兴趣可以自己加上DeviceIoControl的hook应该可以过掉大部分获取机器码的程序
机器码修改
06-24
绝对的牛逼,用过才知道啊,国内更改机器码利器
详谈HOOK API的技术
03-13 1518
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或ExtTextOut()这两个函数实现的,在操作系统用这两个函数输出文本之前,就把相应的英文替换成中文而达到即时翻译;IFS和N
Java HOOK - 钩子机制扫盲
热门推荐
打不死的小欣的专栏
07-25 2万+
一、什么是HOOK(钩子)          对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。
风铃机器码修改器2.2进程ID硬件信息用于解除机器码硬件修改大师多开器部分游戏
最新发布
qq_42403072的博客
12-02 3135
1:窗口硬件ID (一个进程一个ID硬件序列号) 2:支持子进程同步主进程硬件信息 3:支持部分游戏过机器码限制 (自行测试 不确定哪些可以) 理论部分检测机器码的可以 共享版(仅支持)修改以下内容 网卡+硬盘+分区序号 系统激活时间+计算机名+系统ID+系统安装时间 正式版(驱动级) 支持更多机器码修改内 支持固定窗口ID 下载地址1:https://fengl.lanzouw.com/b0epoh3va下载地址2:https://pan.baidu.com/s/15nv918xoPg5n3
HookAPI.rar_delphi 保护_hookapi_hookapi delphi_进程 保护_进程保护
09-14
3. **Inline Hook**:直接在API函数的机器码中插入汇编指令,实现函数调用的劫持。 4. **SetWindowsHookEx**:这是Windows API提供的一种全局钩子,可以在整个系统范围内捕获消息或事件。 然而,`HookAPI`并非没有...
HookApi.rar_HookApi detour_VC settimer Hook_detour VC_detour hoo
09-24
Detour库的核心功能是通过修改内存中的机器码来实现函数的"钩挂",这样当原函数被调用时,实际上会执行我们插入的新代码。 在描述中提到的"vc 6.0 简的 detour api 的大牛小试",意味着这是一个简的实例,展示...
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
这个压缩包文件"APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de"包含了一个使用Detours库来实现API Hook的例子,特别是针对Windows系统中的`recv`函数。下面我们将深入探讨API Hook、Detours库...
HDHook(附源码)HookAPI改变硬盘串号和MAC地址
05-18
VC++源码 一个使用detours来HookAPI的简例子 DeviceIoControl获取硬盘串号 GetAdaptersInfo获取MAC Hook这两个API改变获取的硬盘串号和MAC地址 HDHook工程 生成dll GetHDDSN工程 载入生成的dll 获取硬盘串号和MAC地址 需要自行安装detours
HOOK注册表.rar
04-05
HOOK注册表.rar
HOOK 系统注册表 HOOK API SYSTEM REGISTRY
12-21
HOOK 系统注册表 HOOK API SYSTEM REGISTRY 文件清: PHookRegistry.exe HOOK管理主程序 PNtHOOK.dll HOOK API DLL 功能描述: 1. 只针对用户级别的程序API陷井式HOOK, 这里只对以下API进行HOOK: RegCloseKey RegDeleteKeyA RegDeleteKeyW RegQueryValueExW RegQueryValueExA RegQueryValueA RegQueryValueW RegOpenKeyExW RegCreateKeyExW RegSetValueExW RegDeleteValueW RegOpenKeyExA RegCreateKeyExA RegSetValueExA RegDeleteValueA 以上API就足以完成注册表数据的截获。 2.如何HOOK程序启动初始化时的API问题? 第一次选中目标程序启动对它的HOOK,然后关闭该程序,不要释放HOOK接着再打开该程序就会进入启动时的HOOK
VC++驱动层HOOK系统调用
11-27
好不容易找到一个例子,和大家分享一下,希望对大家有所帮助,一起学习吧
如何修改机器码,怎么修改机器码,什么是机器码
lh8489的专栏
10-19 1万+
1,什么是机器码      本文指软件通过绑定机器码 使限制其在一台机器上运行      通常软件能绑的硬件有:            a,硬盘序列号 (硬盘ID),硬盘序列号出厂时唯一指定的.理论上说,每个硬盘的序列号都尽不相同,大多数软件若绑机器码,硬盘序列号准是首选,关于读取硬盘序列号见文:http://hi.baidu.com/jiqima2012/blog...
机器码怎么改?笔记本机器码怎么改?(最新你看你也会)
TL_CS的博客
04-23 1万+
此方法根据最新方法 可以有效解决 被游戏封禁了电脑机器码 彻底解决无任何后遗症 你的电脑是否被游戏封禁了机器码? 你的电脑是否被游戏拉黑? 如何改机器码?电脑机器码怎么改? 最新教学 根治解决! NTSTATUS my_disk_handle_control(PDEVICE_OBJECT device, PIRP irp) { PIO_STACK_LOCATION ioc = IoGetCurrentIrpStackLocation(irp); ...
拷贝机器码的一种inline hook方式
gudujianjsk的专栏
10-30 1196
将需要inline hook的函数机器码先拷贝到一块内存中, 然后动态修正这块内存的call,jmp对应的offset(相对值), 然后给原始函数做个inline hook, 跳到新函数去执行, 新函数做一些过滤判断后, 调用新分配的内存保存的机器码, 想当于调用原始函数。这种技术在实战中没什么用, 拓展下思路还是不错的。 #include #include #include #inc
进程机器码hook_x86平台inline hook原理和实现
weixin_39966053的博客
12-19 403
概念inline hook是一种通过修改机器码的方式来实现hook的技术。原理对于正常执行的程序,它的函数调用流程大概是这样的:0x1000地址的call指令执行后跳转到0x3000地址处执行,执行完毕后再返回执行call指令的下一条指令。我们在hook的时候,可能会读取或者修改call指令执行之前所压入栈的内容。那么,我们可以将call指令替换成jmp指令,jmp到我们自己编写的函数,在函数里c...
某头条安卓逆向学习----改机/逆向/Hook/协议
qq_30127557的博客
05-08 1912
基于app定制方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值