vc++ hook 拦截自己进程指定的api函数_游戏辅助原理:过用户层HOOK 驱动层SSDT HOOK (之进程保护篇)...

最新推荐文章于 2022-04-26 00:04:26 发布
最新推荐文章于 2022-04-26 00:04:26 发布
阅读量321 收藏
点赞数
文章标签: vc++ hook 拦截自己进程指定的api函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39726873/article/details/111333329
版权

一、进程自我保护:

HOOK windows 用户层api (用户层保护)

内核层api(驱动层保护)

1:用户层hook(简单例子)

Hook

OpenProcess(....,....,DWORD dwProcessId)

拦截函数

DWORD MyOpenProcess(...,....,DWORD dwProcessId)

{

// MydwProcessId 被保护进程id

If(dwProcessId == MydwProcessId)

{

return ERROR_ACCESS_DENIED; //过滤拦截

}

else

{

return OpenProcess(....,....,dwProcessId); //正常操作

}

}

f95203b6b2c5e0f497173dbc16f8b119.png

2:驱动层hook

首先看一下OpenProcess 整个操作流程:

234ea5f8d6f2864dcf24e7c66772038c.png

用户层可以

HOOK:OpenProcess NtOpenProcess

驱动层可以

替换SSTD表对应服务的函数地址,

HOOK: NtOpenProcess,PspOpenProcess,ObOpenObjectByPointer

HOOK SSTD表对应服务的函数地址(简单例子):

fe01c7791d21ac3f0a0ed4089650dfe2.png
183d3b7e19981fc4d059650d50b259a4.png

某某SSDT 自我保护进程:

正常OpenProcess 会出现访问拒绝。

但通过驱动去获取,便原型必现

46071e1738063af297a617b2dd0711da.png

二.畅想:

这只是基本的开发模型。主要方向反病毒软件。

近期搜集了一些资料,喜欢钻研的可以聊聊。

af3bf9f4d62cf7f95aa604cc415950a8.png
weixin_39726873
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vc++ hook 拦截自己进程指定api函数_逆向分析Spotify.app并hook其功能获取数据
weixin_39618173的博客
12-06 215
在开始本文的正式内容之前我想先来吐槽下。大多数的软件开发人员可能都有着这样一个烦恼,就是由于工作和其他责任,不得不搁置自己的一些个人项目甚至是最终完全的遗忘和埋没。而本文的所述的就是一个被我遗忘已久的项目,而我写这文章的目的就是希望能迫使我自己最终完成这个项目。好了,介绍就到这了让我们开始吧。项目该项目的目标是构建一个Spotify客户端,让它能够学习我的听曲习惯并跳过一些我通常会跳过...
关于API HOOK(OpenProcess),根据网上文章改写
旺财
01-12 4370
 以下是部分程序,在VC++6.0   Plat  SDK 2003 SP1下编译通过#include #include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD  dwCurrentProcess
x64内核HOOK技术之拦截进程.拦截线程.拦截模块
weixin_30399155的博客
02-01 671
            x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下,例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉.直接讲表的地址修改即可. 但是在64位系统下,不可以这样操作了. 第一是因为 SSDT表加密了. 第二是 SSDT表你就算解密了.那么你的API的地址也会很远. SSDT表放不下4G以...
驱动Hook系统内核调用的,拦截进程的操作.驱动编程的绝好样例.zip
01-27
驱动Hook系统内核调用的,拦截进程的操作.驱动编程的绝好样例.zip
vc++ hook 拦截自己进程指定api函数_新手系列教程——用bfinject脱壳、注入自己的动态framework、cycript的使用...
weixin_39631094的博客
11-24 195
本文为看雪论坛优秀文章看雪论坛作者ID:麦麦2020目录需求&最终效果1. bfinject对正在运行的APP脱壳打包成.ipa2. 注入自己的动态framework3.cycript的使用环境要求与即将使用的工具 工具介绍实现过程1.bfinject对正在运行的APP脱壳打包成.ipa 安装bfinject 手机使用bfinject ...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
ssdt hook,最简单的内核技术,多用于保护进程
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT HOOK引擎,调用HookService()之前应该先调用InitServicesTalbe()来对SSDT进行一次性的保存,避免后面多次HOOK就要保存多次 !
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
一个可以导出、写入SSDT表的驱动。链接名称:L"SSDT" 支持I/O操作:GET_HOOK,SET_HOOK,GET_PROC,SET_PROC
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
SSDT Hook nt!zwReadVirtualMemory 的完整代码
驱动hookapi
04-19
可以hook 任意函数 ,采用内联hook
VC++利用底键盘钩子屏蔽任意按键
03-17
内容索引:VC/C++源码,系统相关,钩子,HOOK  VC++利用底键盘钩子屏蔽任意按键,内含Dll源文件,VB、VC++的应用举例,都可以正确编译,VC++中的主要是标准 DLL 导出函数头文件,在使用该DLL的程序中包含此文件,在系统范围内屏蔽键盘上的任意按键,需要使用全局键盘钩子的例子。VB也一样,不多说了,看看就会明白。
VC++驱动HOOK系统调用
11-27
好不容易找到一个例子,和大家分享一下,希望对大家有所帮助,一起学习吧
vc++ hook 拦截自己进程指定api函数_【Frida 实战】API查找器和拦截器的组合使用...
weixin_39716264的博客
12-08 309
本文是 Frida 系列教程的第四,讲解 API查找器和拦截器的组合使用,以及替换 implementation 的方式进行 Hook。第一:【Frida 实战】在 iOS 上分析应用第二:【Frida 实战】Hook 大法,拦截器的使用第三:【Frida 实战】如何拦截 sub_xxxx 这种函数在前面的 Frida 教程中我们讲到了如何使用拦截器(Interceptor)对 ...
拦截win32 API 调用(下)
亮子说编程的博客
06-30 1131
拦截win32 API 调用(下) 设计和实现      本部分将讨论钩子架构的关键部分以及它们之间的通讯方式。这样的架构能够拦截任何通过名称导入的api函数。      在概述拦截系统的设计之前,请留意几种注入和拦截方式。      首先,要选择一种能够把dll注入系统所有进程的方式。因此我设计了一个抽象基类,并实现两种注入技术,根据ini文件的设置和操作系统版本(例如windowsN
windows使用detours实现进程拦截实操
weixin_38526093的博客
04-26 2377
Detours是微软开发的一个函数库,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours库函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址
Hook运用之拦截Excel内置对话框
weixin_30527143的博客
03-07 192
此代码的作用主要是运用Hook拦截了Excel内置的 数据有效性 对话框,当设置了Hook后虽然 有效性 菜单项可用,但不能调出这个对话框(其他的对话框可以参照修改)。 '********************************************************************************************************** '***...
规避网络游戏的外挂检测机制
热门推荐
Sting的专栏 - Under the hood
12-01 1万+
译注:这是一发表在rootkit.com上的讨论怎么规避warden检测机制的文章,原文在这里。作者Darawk是D2的黑客。之前,暴雪通过Module32First/Module32Next对D2 1.11中的外挂进行了第一次打击,很多使用外挂的玩家尤其是netters EasyMap的玩家损失惨重。黑客们开始思考Anti-warden的问题,这文章就是一些这方面的尝试。后来,在Dar
C/C++Windows编程—IAT Hook实例(程序启动拦截)
重庆李四
01-08 3149
C/C++Windows编程—IAT Hook实例(程序启动拦截) 前言+思路 本文默认读者有IAT Hook的相关的基础知识了哈,记录笔者在IAT Hook实战中遇到到问题以及解决思路。 笔者想实现一个功能能够拦截到程序的启动。经过调研,大多程序如果是通过双击或者鼠标启动的 一般都是有 Windows资源管理器explorer.exe进程进行创建的。最近刚好学习了IAT Hook就用IAT H...
inline hook 如何拦截自己进程api函数
最新发布
06-12
拦截自己进程API 函数,可以使用 inline hook 技术。具体步骤如下: 1. 获取要拦截API 函数的地址。 2. 在要拦截API 函数的前面插入一段跳转指令,跳转到你自己编写的 hook 函数。 3. 在 hook 函数中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值