printf打印byte_打印远程进程的INT表(IAT HOOK技术)

最新推荐文章于 2023-03-01 11:57:23 发布
最新推荐文章于 2023-03-01 11:57:23 发布
阅读量294 收藏
点赞数
文章标签: printf打印byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39936558/article/details/111644543
版权
本文介绍了如何获取远程进程的INT表,通过EnumProcessModulesEx枚举远程进程模块,使用ReadProcessMemory读取必要的PE结构。文中指出,原始代码中ImageDirectoryEntryToData函数应用于本地进程而非远程进程,并提供了获取远程进程INT表的步骤和思路。
摘要由CSDN通过智能技术生成

      最近看到一篇文章介绍IAT HOOK实现,用ImageDirectoryEntryToData函数直接获取IID表,然后一顿操作。我当时对下面这个函数比较困惑。

pImportDescript = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(hModuleToRead, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);

函数原型:

PVOID WINAPI ImageDirectoryEntryToData(_In_ PVOID Base,_In_ BOOLEAN MappedAsImage,_In_ USHORT DirectoryEntry,_Out_ PULONG Size);

hModuleToRead是要HOOK模块的基址,但是文章里并没有讲如何获取基址。大概有以下几种办法获取到模块基址:

1.hModuleToRead

2.定位远程进程的PEB

DWORD FindRemotePEB(HANDLE hProcess){      HMODULE hNTDLL = LoadLibraryA("ntdll");      if (!hNTDLL)            return 0;      FARPROC fpNtQueryInformationProcess = GetProcAddress      (            hNTDLL,            "NtQueryInformationProcess"      );      if (!fpNtQueryInformationProcess)            return 0;      NtQueryInformationProcess ntQueryInformationProcess =            (NtQueryInformationProcess)fpNtQueryInformationProcess;      PROCESS_BASIC_INFORMATION* pBasicInfo =            new PROCESS_BASIC_INFORMATION();      DWORD dwReturnLength = 0;      ntQueryInformationProcess      (            hProcess,            0,            pBasicInfo,            sizeof(PROCESS_BASIC_INFORMATION),            &dwReturnLength      );      return pBasicInfo->PebBaseAddress;}

3.EnumProcessModulesEx可以枚举出远程进程所有的模块信息。我下面用的就是这个方法。

       为了搞清楚我打算写个程序打印出远程进程的INT表,就不HOOK了。代码如下:

DWORD dwPID = 0;    HWND hd = ::FindWindow(NULL, L"Zenmap");    printf("正在打开窗口句柄\n");    ::GetWindowThreadProcessId(hd,&dwPID);    HANDLE hPID = ::OpenProcess(PROCESS_ALL_ACCESS, false, dwPID);    printf("dwPID=%d,hPID=%d\n", dwPID, hPID);    //开始打印所有模块基址    DWORD pro_base = NULL;    HMODULE hModule[100] = { 0 };    DWORD dwRet = 0;    int num = 0;    int bRet = EnumProcessModulesEx(hPID, (HMODULE *)(hModule), sizeof(hModule), &dwRet, NULL);    if (bRet == 0) {        printf("EnumProcessModules");}    // 总模块个数    num = dwRet / sizeof(HMODULE);    //printf("总模块个数: %d\n", num);     打印每一个模块加载基址    //char lpBaseName[100];    //for (int i = 0; i < num; i++) {    //GetModuleBaseNameA(hPID, hModule[i], lpBaseName, sizeof(lpBaseName));    //printf("%-2d %-25s基址: 0x%p\n", i, lpBaseName, hModule[i]);    //}    pro_base = (DWORD)hModule[0];//Zenmap.exe的基址    ULONG ulSize;    PIMAGE_IMPORT_DESCRIPTOR pImportDescript;    PIMAGE_THUNK_DATA pThunkData;    PIMAGE_IMPORT_BY_NAME pImportByName;    char *sMoldeName;    pImportDescript = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData(hModuleToRead, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);    while (pImportDescript->OriginalFirstThunk){        sMoldeName = (char *)((PBYTE)hModuleToRead + pImportDescript->Name);        printf("模块名为:%s\n", sMoldeName);        pThunkData = (PIMAGE_THUNK_DATA)((BYTE *)hModuleToRead + pImportDescript->OriginalFirstThunk);        while (pThunkData->u1.AddressOfData)        {            pImportByName = (PIMAGE_IMPORT_BY_NAME)((BYTE *)hModuleToRead + pThunkData->u1.AddressOfData);            printf("导入函数,HIT:%d,NAME:%s\n", pImportByName->Hint, pImportByName->Name);            pThunkData++;        }        pImportDescript++;}

大家可能一眼就看出问题来了,Zenmap.exe是远程进程,而ImageDirectoryEntryToData读取的是本地进程的IID。要如何拿到远程进程的INT(IAT)表信息呢,我没有找到现成的函数,只能用ReadProcessMemory一点点地把IID找出来。思路如下:

1.通过进程名找到窗口句柄

HWND hd = ::FindWindow(NULL, L"Zenmap");

2.通过窗口句柄找到进程id

::GetWindowThreadProcessId(hd,&dwPID);

3.通过进程id获得进程句柄

HANDLE hPID = ::OpenProcess(PROCESS_ALL_ACCESS, false, dwPID);

4.拿到各模块基址:

int bRet = EnumProcessModulesEx(hPID, (HMODULE *)(hModule), sizeof(hModule), &dwRet, NULL);

5.读取ImageDosHeader

::ReadProcessMemory(hPID,hModule[0],&ImageDosHeader,sizeof(IMAGE_DOS_HEADER),&dwRead);

6.读取ImageOptionalHeader

IMAGE_OPTIONAL_HEADER ImageOptionalHeader = {};    IMAGE_NT_HEADERS ImageNTHeader = {};    LPCVOID ImageOptionalHeader_addr = (BYTE *)hModule[0] + ImageDosHeader.e_lfanew + sizeof(ImageNTHeader.Signature) + sizeof(ImageNTHeader.FileHeader);    ::ReadProcessMemory(hPID, ImageOptionalHeader_addr, &ImageOptionalHeader, sizeof(IMAGE_OPTIONAL_HEADER), &dwRead);

7.读取IID,ThunkData,OriginalFirstThunk等。

效果图:

3e3ea2480ad7e864b59b017f7992a25c.png

746a92b30fe5cdba7d5c8745eac4fa56.png

794320cf2169a83cbd09c9d05c764c35.png

完整代码:

{        DWORD dwPID = 0;    HWND hd = ::FindWindow(NULL, L"Zenmap");    printf("正在打开窗口句柄\n");    ::GetWindowThreadProcessId(hd,&dwPID);    HANDLE hPID = ::OpenProcess(PROCESS_ALL_ACCESS, false, dwPID);    printf("dwPID=%d,hPID=%d\n", dwPID, hPID);    //开始打印所有模块基址    DWORD pro_base = NULL;    HMODULE hModule[100] = { 0 };    DWORD dwRet = 0;    int num = 0;    int bRet = EnumProcessModulesEx(hPID, (HMODULE *)(hModule), sizeof(hModule), &dwRet, NULL);    if (bRet == 0) {        printf("EnumProcessModules");}    // 总模块个数    num = dwRet / sizeof(HMODULE);    //printf("总模块个数: %d\n", num);     打印每一个模块加载基址    //char lpBaseName[100];    //for (int i = 0; i < num; i++) {    //GetModuleBaseNameA(hPID, hModule[i], lpBaseName, sizeof(lpBaseName));    //printf("%-2d %-25s基址: 0x%p\n", i, lpBaseName, hModule[i]);    //}    pro_base = (DWORD)hModule[0];    IMAGE_DOS_HEADER ImageDosHeader = {};    DWORD dwRead = 0;    ::ReadProcessMemory(hPID,hModule[0],&ImageDosHeader,sizeof(IMAGE_DOS_HEADER),&dwRead);    printf("MZ:%p\n",ImageDosHeader.e_magic);    printf("DOS_HEADER_OFFSET:0x%p\n", ImageDosHeader.e_lfanew);    IMAGE_OPTIONAL_HEADER ImageOptionalHeader = {};    IMAGE_NT_HEADERS ImageNTHeader = {};    LPCVOID ImageOptionalHeader_addr = (BYTE *)hModule[0] + ImageDosHeader.e_lfanew + sizeof(ImageNTHeader.Signature) + sizeof(ImageNTHeader.FileHeader);    ::ReadProcessMemory(hPID, ImageOptionalHeader_addr, &ImageOptionalHeader, sizeof(IMAGE_OPTIONAL_HEADER), &dwRead);    printf("IID:%p\n", ImageOptionalHeader.DataDirectory[1]);    IMAGE_IMPORT_DESCRIPTOR ImageImportDirectory = {};    PIMAGE_IMPORT_DESCRIPTOR ImageImportDirectory_addr = (PIMAGE_IMPORT_DESCRIPTOR)((BYTE *)hModule[0] + ImageOptionalHeader.DataDirectory[1].VirtualAddress);    ::ReadProcessMemory(hPID, ImageImportDirectory_addr,&ImageImportDirectory,sizeof(IMAGE_IMPORT_DESCRIPTOR),&dwRead);    PIMAGE_IMPORT_DESCRIPTOR pImportDescript;    PIMAGE_THUNK_DATA pThunkData_addr;    IMAGE_THUNK_DATA ThunkData;    PIMAGE_IMPORT_BY_NAME pImportByName_addr;    PIMAGE_IMPORT_BY_NAME ImportByName = {};    char sMoldeName[30] = {};    int a = 1;    while (ImageImportDirectory.FirstThunk){        LPCVOID sMoldeName_addr = (BYTE *)hModule[0] + ImageImportDirectory.Name;        ::ReadProcessMemory(hPID, sMoldeName_addr, sMoldeName, 29, &dwRead);        printf("导入模块%d,名为:%s\n",a++, sMoldeName);        pThunkData_addr = (PIMAGE_THUNK_DATA)((BYTE *)hModule[0] + ImageImportDirectory.OriginalFirstThunk);        ::ReadProcessMemory(hPID, pThunkData_addr, &ThunkData, sizeof(IMAGE_THUNK_DATA), &dwRead);        int i = 1;        while (ThunkData.u1.AddressOfData)        {            pImportByName_addr = (PIMAGE_IMPORT_BY_NAME)((BYTE *)hModule[0] + ThunkData.u1.AddressOfData);            void *p = malloc(15);            ::ReadProcessMemory(hPID, pImportByName_addr, p, 15, &dwRead);            //int HIT = ((int)*p);            ImportByName = (PIMAGE_IMPORT_BY_NAME)p;            printf("导入函数%d,HIT:%d,NAME:%s\n", i++, ImportByName->Hint,ImportByName->Name);            ::ReadProcessMemory(hPID, ++pThunkData_addr, &ThunkData, sizeof(IMAGE_THUNK_DATA), &dwRead);        }        ::ReadProcessMemory(hPID, ++ImageImportDirectory_addr, &ImageImportDirectory, sizeof(IMAGE_IMPORT_DESCRIPTOR), &dwRead);}}
weixin_39936558
关注
(python3) printf格式化Bytes
科学技术是第一生产力
05-03 2442
处理Bytes字节数组:bytes和bytearray 转换说明符需要包含两种或以下更多的字符,必须遵守以下约定: 以“%”作为需要格式化内容的开始标记; 带有括号的映射字符序列,可选; 会影响结果的转换类型,可选; 指定符号“*” 指定符号“.” 长度修改器,可选 转换类型 格式化符号 符号 说明 '#' '0' '_' ...
Hook技术IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2593
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
学习笔记之printf_Byte
weixin_34248487的博客
06-22 341
刚才看到自己曾经写的一段代码,名为“print_bit.c”的c文件。虽然已经想不起来是为何写它,但经分析可知源目的可能是想将一个int型的数按字节打印,顺便可以分析出系统是大端还是小端。 代码如下: main() { int p = 3; printf("*(&p):%x\t%x\n",*(char *)(&p),(char *)((...
printf打印字节
超哥的专栏
03-06 4612
int main() { unsigned char buf[] = "xxx"; int i = 0; printf("buf:"); for(i = 0; i < strlen(buf); i++) { printf("0x%0x", *(buf + i) >> 4 & 0xf) printf("%0x ", *(buf +
printf打印字节调试
超哥的专栏
07-11 1498
void print(BYTE *data, INT len) { INT x = 0; INT y = 0; if(data == NULL) { return; } for(x = 0; x < len; x += 16U) { debug("%p : ", &data[x]); for(y = ...
C语言基础:printf打印基本数据类型汇总
qq1019486728的专栏
06-29 6921
1.基本数据类型U8,U16,U32,U64等是什么类型转自http://www.cnblogs.com/chenyebin/archive/2011/07/12/2103962.html#define U32 unsigned int #define U16 unsigned short #define S32 int #define S16 short int #define U8 ...
注入(5)---导入注入(HookINT)
对着世界说你好
10-13 2923
导入是WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入,PE加载器会根据导入来加载进程需要的其他DLL模块。 导入的数据结构如下:typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
深入理解API hook技术
API hook技术是指在程序执行过程中,通过一定的手段拦截和修改API调用的技术。通过API hook技术,可以实现对系统和应用程序的行为进行监控、修改以及增强。常见的API hook手段包括函数钩子、内联挂钩、模块注入等。 ...
HOOK其他进程API和全局HOOK-API
08-16 4175
HOOK是一种WINDOWS下存在很久的技术了。 HOOK一般分两种1。HOOK MESSAGE  2。HOOK API 本问讨论的是HOOK API。(如果你是HOOK高手就不要看了) 在最初学HOOK-API的时候通常都是通过覆盖地址和修改IAT的方法。通过这两种技术,我们基本都可以实现对本进程的API函数进行HOOK了。但是在高兴之余会有点遗憾,怎么才能HOOK其他进程的API函数呢?怎么才
游戏修改器制作教程六:hook的各种姿势
热门推荐
El Psy Congroo
12-18 1万+
在第二章介绍了hook机制,本章要自己实现hook,实现调用某个函数时我们能截获、修改、取消这次调用
c:intbytes,打印输出printf
最新发布
积累与备忘
03-01 360
【代码】【无标题】
用二进制打印一个字节
lichengyu的专栏
03-20 1154
#include using namespace std; void printBinary(const unsigned char val) { for(int i = 7; i >= 0; i--){ if(val & (1 << i)) cout << "1"; else cout << "0"; } } int main(int argc, char* arg
printf格式控制符的完整格式
nicholasmaxwell的专栏
11-13 6073
printf格式控制符的完整格式printf的格式控制的完整格式:%   -   0   m.n   l或h   格式字符下面对组成格式说明的各项加以说明:①%:示格式说明的起始符号,不可缺少。②-:有-示左对齐输出,如省略示右对齐输出。③0:有0示指定空位填0,如省略示指定空位不填。④m.n:m指域宽,即对应的输出项在输出设备上所占的字符数。N指精度。用于说明输出的实型
printf函数的详细用法以及整型数据的相关详细分析
gplili的博客
05-16 1453
整型数据
sprintf,snprintf的用法(可以作为linux中itoa函数的补充)
记事本
05-05 1万+
函数功能:把格式化的数据写入某个字符串 头文件:stdio.h  函数原型:int sprintf( char *buffer, const char *format [, argument] … );  返回值:字符串长度(strlen) MSDN中的例子如下 #include void main( void ) { char buf
printf 函数实现的深入剖析[转载]
我的博客
05-17 9032
研究printf的实现,首先来看看printf函数的函数体  int printf(const char *fmt, ...) { int i; char buf[256]; va_list arg = (va_list)((char*)(&fmt) + 4); i = vsprintf(buf, fmt, arg); write(buf,
Windows核心编程(二十二)API拦截
woshibendangao的专栏
04-07 1043
一个模块的导入段包含一组DLL。为了让模块能够运行,这些DLL是必须的。导入段还包含一个符号。它列出了该模块从各DLL中导入的符号。当模块调用这些导入符号的时候,系统实际上会调用转换函数,获得导入函数在导入的地址,然后再跳到相应的位置。如果我们能将导入段中相应导入函数的地址替换成自定义的函数的地址,即可实现对该函数的拦截。在自定义的函数中,我们既可以调用拦截的函数,也可以执行其他工作。
printf函数打印(一)—— 过程解析篇
challenglistic的博客
04-04 2765
printf函数是如何打印数据的?首先需要知道打印的基本流程,再通过例子了解,printf本该打印的内容被写到了哪个文件里
C++实现IATHOOK类封装及静态成员应用
"C++封装IATHOOK类实例用于实现对IAT(Import Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统中,IAT是PE(Portable Executable)文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值