怎么调试有Hook的DLL样本

最新推荐文章于 2022-08-21 17:22:30 发布
最新推荐文章于 2022-08-21 17:22:30 发布
阅读量408 收藏
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41520029/article/details/103099792
版权

样本hash:5BBEFA25D955C4C5737A8C665AE48F1A

该样本VT和微步在线都能得到,属于parite家族,使用了多态变形技术进行躲避传统杀毒软件的特征码查杀。查壳发现有UPX壳,这个样本让我比较新奇的是,在你脱壳的时候就将恶意行为做完了,以开启全局钩子的方式将恶意DLL文件注入到多个进程,在注入DLL对进程进行判断,如果不是explorer则退出,并开启线程,对计算机中其他文件进行感染,即使将钩子卸载也无济于事。

这里我只是简单记录下学习过程,不对感染行为做分析(主要自己太菜,新线程是断不下来)。拿到样本,第一步先查壳,如图,显示是upx压缩壳。

既然是UPX壳,那么就使用ESP定律,一脱到底。使用OD载入,发现找不到pushxx,那就单步吧。

使用单步法找OEP,虽然笨,好用(哈哈哈),单步就发现问题了,估计是为了防止杀软的特征码查杀,它对样本进行动态解密。

解密之后:

是不是很有意思,单步进去,然后进第一个call,可以看到一抹多的LoadLibraryA和GetProcAddress函数,这是壳代码无疑了。

然后进第二个call,查询注册表的,没意思。

进第三个call,这个就有意思了。先获取样本模块,在拿到句柄,获取temp的路径,然后向temp路径解密写入一个temp文件,这个temp文件是一个dll文件,大小为173kb,名字随机。

然后将写入temp的完整路径作为参数传进第四个call,跟进去看。啥?LoadLibraryA,它居然加载了这个temp(实际为dll),然后GetProcAddress获取导出函数Initiate并执行它。

跟进Initiate函数,打开互斥体,关键在于它建立了一个全局钩子。

执行完SetWindowsHookExA函数,使用PCHunter32查看,下钩成功。

然后继续单步,最后会看到pushad,ESP定律脱壳就行了,不是重点,不做解释。

既然是一个dll文件,肯定要有载体加载它,那么调试这个dll,需要找一个载体,那就使用Notepad++吧,将其改名为explorer.exe(为什么要改呢?你分析dll就知道了)。其次,既然我选择的是记事本方式加载它,为了加载成功,我将SetWindowsHookExA函数的1参idHook的值改为2,为啥,查msdn呗。(挂钩键盘更方便我们调试)

改之前:

改之后:

运行挂钩函数后,用PCHunter32看看挂成功没,然后去改Notepad++名字:

改好之后将Notepad++用OD打开,然后F9运行起来,再更改调试设置,中断于新模块。

此时程序是运行起来的,当你往Notepad++输入任何东西时,程序马上断下来,并显示新模块。

可以看到模块入口点为02501B90,CTRL+G跳转到这个地址,F2下断。

此时样本释放的dll已经被我们加载了,可以愉快的调试了。但是,你会发现这个temp文件加了UPX壳,使用IDA时,你得先脱壳,来吧,继续脱壳。

为什么我还说这个呢,因为这个UPX壳的OEP是真奇怪,第一次见,顺带记录一下吧!

JMP为OEP,惊悚,刺激!!!

FFE5
关注
专栏目录
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
Hook DLL
01-21
精心收藏了十几个关于钩子(全局)的程序 打包发上来API函数拦截例子CallDllFuncdll_projectdlldlgmyctrlpanel阻止全局钩子的加载通过HOOK方式监视WinSock的调用等等。。。。
Hook技术:奇妙的调试Hook技术详解(附源码)
weixin_43742894的博客
05-08 2729
为什么叫做奇妙的调试Hook呢?因为在学习《逆向工程核心原理》的过程中,发现hook的方式千变万化,越觉得欣喜,相较于其他的Address Hook、Inline Hook调试Hook让我觉得独特。 调试Hook什么是调试Hook?实现原理实现流程实战练习优缺点源码示例 什么是调试Hook调试Hook是通过调试方式进行的API钩取函数。 在这之前我们先了解一点调试器的知识。 调试器用来确认被调试者是否正确运行,发现未知的错误。调试器能够逐一执行被调试者的指令,拥有对调试器与内存的所有访问权限。 每当被
HOOK DLL
flyingleo1981的专栏
11-13 1739
前一阶段闲着无聊,用远程线程注入的方法把DLL注入到Explorer.exe进程实现音乐循环播放。   在DLL中的代码是这样的: BOOL WINAPI DllMain(HINSTANCE hInstDll, DWORD fdwReason, PVOID fImpLoad) {     static HANDLE hThread;     static DWORD dwTh
dll下载Hook.dll
09-17
这是一个JSP在线考试系统,后台数据库为MySQL。这是一个完整的web应用程序,实现了教师出题、学生在线考试(自由测试、单元测试、模拟考试)、错题本,以及相关的系统维护功能。在线测试的功能主要包括三部分
Windows编程DLL注入之Hook(钩子)注入
qq_40012479的博客
11-06 3363
消息: 消息可以由系统和应用程序生成,系统会为每个输入事件产生相应的消息。例如点击鼠标,按下键盘按键等。消息又分为队列消息和非队列消息,对于非队列消息,windows会直接将其发送到窗口处理函数,而对于队列消息,windows会将其放入消息队列。 消息队列: windows维护了一个系统消息队列,并且为每一个GUI线程维护一个消息队列。且只有线程第一次调用GDI函数时,系统才会为该线程创建消息队列。windows会检查系统消息队列,确定消息的目标窗口,将其放入创建这个窗口的线程的消息队列里。 Hook: 钩
android unity hook,Unity3d安卓游戏DLL动态调式与HOOK基础
weixin_42360993的博客
05-28 1032
本帖最后由 xiaoxin520 于 2016-4-4 02:27 编辑本文作者七少月,文章中很多观点和技术手段为本人原创,转载请注明出处,由于本人技术水平有限,不当之处,还请斧正。前言:由于本人一直以来都比较忙,开班、工作等等事情太多,所以很长一段时间没有发帖。其实我确实想看一看,尤其是Unity3d安卓游戏逆向领域有没有更出彩的文章。可能有些不恰当的说,确实这一段时间以来,虽然也有一些Unit...
简单后门样本
12-25
在本案例中,我们有四个与"简单后门样本"相关的文件:HOOKDLL.dllhook.exe、server.exe和iexplorer.exe,以及一个库文件HOOKDLL.lib。接下来,我们将深入探讨这些组件可能涉及的技术和威胁。 1. **HOOKDLL.dll**...
DaenWxHook+千寻VX框架
11-22
免费的微信HOOK和框架,提供HTTPAPI接口和封装好的框架,微信版本为3.6.0.18,内置HTTPAPI,方便您使用自己喜欢的编程语言快速开发。 支持文本代码,多人艾特,emoji表情,微信表情等,全面解决收发消息、昵称内的...
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4610
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK可以通过dll载入进程HOOK指定的函数,例如LoadLibraryA GetProcAddress 等等
使用windows钩子(HOOK)实现DLL注入
new9232的博客
08-21 6883
本文章介绍如何使用HOOK技术实现DLL注入。通过一个测试程序,记录你的任何键盘输入信息,见识到HOOK技术的强大之处。
hook实现dll注入详解
weixin_33895657的博客
05-14 238
需要一个用来注入的dll(inject.dll)及一个调用程序(caller.exe)流程:caller.exeprocedure TestHook;var pwnd,hChild, hwndInject hwnd;msgtmsg;begin通过窗口标题用FindWindow找到要注入的程序的主窗口句柄pwndpwnd = findwindow('Progman',nil);...
控制台窗口隐藏与显示。hook实现控制台窗口最小化,窗口关闭消息截取
moonmuzi的博客
03-29 3134
// #include "stdafx.h" // #include "CardReaderHandler.h" // // // int _tmain(int argc, _TCHAR* argv[]) // { // const char* confName = "./CardReaderConfig.ini"; // CardReaderMgr* m_pCRMgr = NULL; ...
Hook Windows消息事件,以及如何调试dll
qq_36535153的博客
11-09 397
首先附上代码main函数 #include <stdio.h> #include <conio.h> #include <windows.h> #define DEF_DLL_NAME "hookdll.dll" #define DEF_DLL_HOOKSTART "HookStart" #define DEF_DLL_HOOKStop "HookS...
系统缺失winhook.dll 无法打开应用解决办法
毒辣A猛
01-12 1129
问题: 电脑是windows 7 32位操作系统,安装应用软件时报出缺失winhook.dll 文件错误。导致应用程序无法正常打开。错误的信息如下: 我尝试的解决方法: 1. 在网上寻找32位winhook.dll文件放在C:\Windows\System32\WinHook.dll (这是32位系统存放的位置),然后使用在cmd中使用regsvr32.exe C:\Windows\System32\WinHook.dll 进行注册,但是发现失败了。 2.下载DirectX进行dll修复,修复完成之后重启
hook DLL遇到的一些问题
云海天
02-04 662
1、创建一个标准windows库的dll,m_hXHook = LoadLibrary(_T("xxx.dll")) 无误,但是在调用函数时 GetProcAddress(m_hXHook, "StartCallWndHook"),返回地址为0。        原因:需要在dll的头文件中加入extern C #ifdef __cplusplus extern "C" { #endif
Hook dll中导出函数,输出想要的入参或出参
liutianheng654的博客
10-30 3729
最近逆向某聊天软件协议部分,需要打印出所有报文加解密的原文,密文以及密钥。想通过hook的方式,hook导出函数的地址,然后在函数进入前输出想要的入参,函数返回时输出想要的出参。用到了dll注入的方式。参考了逆向工程核心原理的内容。可通用性还可以,分享代码如下: https://download.csdn.net/download/liutianheng654/10754049 如果想针对自己...
DLL注入的几种姿势(一):Windows Hooks
翻肚鱼儿的博客
07-27 1127
DLL注入的目的是将代码放进另一个进程的地址空间中,所以要怎样才能实现DLL注入呢? 其实在Windows中有好几种方法可以实现,这里我们首先尝试通过“SetWindowsHookEx”创建钩子(hooks)来实现。另外如果你对这方面很感兴趣,可以参考文章最底下的相关文献,这些文献包含大量的代码以及其他有用的信息。 WindowsHooks 首先我们需要理解Windows的hook机制和API函数SetWindowsHookEx。Hook机制允许应用程序截获处理窗口消息或特定事件。而钩子又可以分为..
C++如何调用HookDll.dll的代码
最新发布
07-10
在C++中调用HookDll.dll的代码可以通过以下步骤实现: 1. 包含头文件:在你的C++源代码文件中,包含HookDll.dll的头文件,通常是.h文件。 ```cpp #include "HookDll.h" ``` 2. 加载DLL:使用LoadLibrary函数加载HookDll.dll。 ```cpp HMODULE hModule = LoadLibrary("HookDll.dll"); if (hModule == NULL) { // 处理加载DLL失败的情况 } ``` 3. 获取函数地址:使用GetProcAddress函数获取HookDll.dll中的函数地址。 ```cpp // 假设Hook函数在DLL中的名字为HookFunction typedef void (*HookFunctionType)(/* 函数参数列表 */); HookFunctionType HookFunction = (HookFunctionType)GetProcAddress(hModule, "HookFunction"); if (HookFunction == NULL) { // 处理获取函数地址失败的情况 } ``` 4. 调用函数:通过获取到的函数地址调用DLL中的函数。 ```cpp // 调用通过GetProcAddress获取到的函数地址 HookFunction(/* 参数列表 */); ``` 需要确保HookDll.dll和你的C++程序在同一目录下,或者将HookDll.dll的路径传递给LoadLibrary函数。同时,确保函数签名和参数列表与DLL中的函数定义一致。 以上是一个基本的示例,你可以根据具体情况进行适当的修改和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值