工控系统安全之HOOK技术(上课教程)

最新推荐文章于 2023-07-16 15:52:35 发布
最新推荐文章于 2023-07-16 15:52:35 发布
阅读量257 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41549308/article/details/109221546
版权

工控系统安全之HOOK技术(上课教程)

分别采用IAT  Hook和inline Hook技术对系统函数Hook
1. 利用IAT Hook来挂钩user32.dll中的GetTopWindow函数,实现调用GetTopWindow会弹出提示框
2. 利用Inline Hook技术实现对user32.dll中的MessageBoxA的Hook,实现弹框前,先Beep一声

提示:
考虑到inline Hook实现对新手较难,可以先使用mhook库或Detours库来实现

#include "windows.h"

typedef
struct _IATHOOK_DATA 
{
    DWORD    dwValueAddr;    //IAT项中保存函数地址的地址
    DWORD    dwOriginValue;    //原始数据
    DWORD    dwNewValue;        //新的数据
}IATHOOK_DATA, *PIATHOOK_DATA;

DWORD IATHook(CHAR szDllName[], CHAR szFuncName[], PIATHOOK_DATA pIATHookData);
DWORD IATUnHook(PIATHOOK_DATA pIATHookData);

HWND WINAPI MyGetTopWindow(HWND hWnd);

IATHOOK_DATA    IATHookData;

int WINAPI WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd )
{
    IATHookData.dwNewValue = (DWORD)MyGetTopWindow;
    IATHook("user32.dll", "GetTopWindow", &IATHookData);
    GetTopWindow(NULL);
    return    0;
}

typedef
HWND (WINAPI *GETTOPWINDOW)(HWND hWnd);
HWND WINAPI MyGetTopWindow(HWND hWnd)
{
    GETTOPWINDOW    OriginGetTopWindow = (GETTOPWINDOW)IATHookData.dwOriginValue;
    Beep(3000, 100);
    MessageBoxA(NULL, "GetTopWindow哦", "3170604037", MB_OK);
    
    return    OriginGetTopWindow(hWnd);
}


/************************************************************************/
/* 
功能:利用修改导入函数表中地址来hook函数
参数:szDllName-导入函数的dll名,szFuncName-函数名,pIATHookData-hook使用的数据
原理:通过判断IMAGE_THUNK_DATA中函数名来得到对应IAT中地址,修改导入函数表中函数地址
*/
/************************************************************************/
DWORD IATHook(CHAR szDllName[], CHAR szFuncName[], PIATHOOK_DATA pIATHookData)
{
    DWORD                        dwBaseAddr;
    PIMAGE_DOS_HEADER            pDosHeader;
    PIMAGE_NT_HEADERS            pNtHeader;
    PIMAGE_OPTIONAL_HEADER        pOptHeaer;
    PIMAGE_THUNK_DATA            pThunk, pIAT;
    PIMAGE_IMPORT_DESCRIPTOR    pImportDes;
    DWORD                        dwIndex;
    DWORD                        dwOriginProtect;

    if (NULL == szDllName || NULL == szFuncName || NULL == pIATHookData)
    {
        return    ERROR_INVALID_PARAMETER;
    }

    //获取当前文件的基址
    dwBaseAddr = (DWORD)GetModuleHandle(NULL);
    if (NULL == dwBaseAddr)
    {
        return    GetLastError();
    }
    
    //从头计算得到引入表的地址
    pDosHeader = (PIMAGE_DOS_HEADER)dwBaseAddr;
    pNtHeader = (PIMAGE_NT_HEADERS)(dwBaseAddr + pDosHeader->e_lfanew);
    pOptHeaer = &(pNtHeader->OptionalHeader);

    pImportDes = (PIMAGE_IMPORT_DESCRIPTOR)(dwBaseAddr + pOptHeaer->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

    while (pImportDes->FirstThunk)
    {
        //判断是否是对应模块
        if (_stricmp((CHAR*)(dwBaseAddr+pImportDes->Name), szDllName))
        {
            pImportDes ++;
            continue;
        }

        //当PE文件被装载到内存时,PE装载器将查找IMAGE_THUNK_DATA 和 IMAGE_IMPORT_BY_NAME 这些结构数组,
        //以此决定引入函数的地址。然后用引入函数真实地址来替代由FirstThunk指向的 IMAGE_THUNK_DATA 数组里的元素值
        //若 OriginalFirstThunk 为0,就改用FirstThunk值。有些连接器生成PE文件时会置OriginalFirstThunk值为0,这应该算是个bug。
        pIAT = (PIMAGE_THUNK_DATA)(dwBaseAddr + pImportDes->FirstThunk);
        if (pImportDes->OriginalFirstThunk)
        {
            pThunk = (PIMAGE_THUNK_DATA)(dwBaseAddr + pImportDes->OriginalFirstThunk);
        }
        else
        {
            pThunk = pIAT;
        }

        dwIndex = 0;
        
        do 
        {
            //有些情况下一些函数仅由序数引出,对应该函数的 IMAGE_THUNK_DATA 值
            //的低位字指示函数序数,而最高二进位 (MSB)设为1。
            //32位时IMAGE_ORDINAL_FLAG = 0x80000000h。
            dwIndex = *(DWORD*)pThunk;
            if (dwIndex != 0)
            {
                if ((dwIndex & IMAGE_ORDINAL_FLAG) == 0)
                {
                    //得到函数名,继续向后跳2字节
                    if (strcmp((PCHAR)(dwBaseAddr + dwIndex + 2), szFuncName) == 0)
                    {
                        //找到了,先保存原始数据
                        pIATHookData->dwValueAddr = (DWORD)pIAT;
                        pIATHookData->dwOriginValue = *(DWORD*)pIAT;
                        
                        //修改IAT
                        VirtualProtect(pIAT, 4, PAGE_EXECUTE_READWRITE, &dwOriginProtect);
                        *(DWORD*)pIAT = pIATHookData->dwNewValue;
                        VirtualProtect(pIAT, 4, dwOriginProtect, &dwOriginProtect);
                        return    0;
                    }
                }
            }
            //换下一个
            pThunk ++;
            pIAT ++;
        } while (1);
        //取下一模块
        pImportDes ++;
    }
    return    0;
}

/************************************************************************/
/* 
功能:修股
参数:
原理:
*/
/************************************************************************/
DWORD IATUnHook(PIATHOOK_DATA pIATHookData)
{
    DWORD    dwOriginProtect;

    VirtualProtect((PVOID)pIATHookData->dwValueAddr, 4, PAGE_EXECUTE_READWRITE, &dwOriginProtect);
    *(DWORD*)pIATHookData->dwValueAddr = pIATHookData->dwOriginValue;
    VirtualProtect((PVOID)pIATHookData->dwValueAddr, 4, dwOriginProtect, &dwOriginProtect);
    return    0;
}

实现结果

会听到电脑哔一声然后弹出窗口

 

七月花nancy
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
钩子技术HOOK使用教程
11-01
钩子函数实际上是一个处理消息的程序段,每当一个应用程序调用函数GetMessage或PeekMessage而恰有一个消息即将被处理时,系统调用钩子函数。也就是说,当特定的息发出,在没有到达目的窗口前,钩子函数先捕获消息,亦即钩子函数先获得控制权。这时钩子函数既可以加工处理该消息,也可以不作处理而继续传递消息,还可以强制结束消息传递。系统为每种类型的钩子维护一个钩子链,最近安装的钩子放在链的开始,而最先安装的钩子放在最后,也就是后加入的钩子先获得控制权。 Windows API函数SetWindowsHookEx用来安装钩子函数,这个函数的原型是HHOOK SetWindowsHookEx(int idHook,HOOKPROC lpfn,HINSTANCE hMod,DWORD dwThreadId),其中第一个参数是钩子的类型;第二个参数是钩子函数的地址;第三个参数是包含钩子函数的模块句柄;第四个参数指定监视的线程,如果指定确定的线程,即为线程钩子,如果指定为空,则为全局钩子。其中,全局钩子必须包含在DLL中,线程专用钩子可以包含在可执行文件中。得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另一个API函数CallNextHookEx来传递它,钩子函数也可以通过直接返回0来丢弃该消息,以阻止消息的传递。
一、工控安全入门
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-09 4461
工控入门内容,小白知识,大佬略过。
Hook技术(1):Hook技术简介
weixin_43742894的博客
04-01 3081
什么是hook技术hook技术又被称为钩子技术。 在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。 简单来说,hook是一种截取信息、更改程序执行流向、添加新功能的技术。 通俗来说,就是一条高速公路,我们去追击一个罪犯(要截获的消息或事件),然后在他要经过的地方提前埋下埋伏,等到罪犯到来时,实...
工控安全培训课件
11-23
工控安全培训课件
工控安全:攻防演示案例分享
KEY0NE的个人博客
11-09 2050
列举一些可以在工控安全项目中用的攻防演示案例,持续更新......前言在某核电的安全项目中,感谢公司leader信任让我负责项目的总体方案设计、攻防案例设计、安全防护等方案,经过前期大量的搜索、复现、思考、选取,顺利完成该项目的建设实施。于是,在此文中分享一些可以在工控安全项目中进行攻防演示的案例,以供大家参考。针对工控系统上位机操作系统攻防案例漏洞一:永恒之蓝M...
微信Hook教程(易语言)
06-14
1. **Hook的概念**:Hook是一种拦截技术,通过在系统底层对某些特定API函数或者消息处理过程进行拦截,从而改变或监控这些函数的行为。 2. **Hook的工作机制**: - 在Windows系统中,通常采用SetWindowsHookEx这样...
VB外挂之HOOK技术的最详细教程.docx
12-25
VB外挂开发中的HOOK技术是一种关键的编程技巧,主要用于监控和拦截系统或应用程序中的特定事件,例如键盘和鼠标操作。在VB中实现HOOK主要依赖于Windows API函数,尤其是`SetWindowsHookEx`函数。本教程将深入讲解...
基于Hook技术的Android平台隐私保护系统
01-20
针对Android中恶意应用窃取用户隐私的问题,设计并实现了一个基于Hook技术的隐私保护系统。该系统包括应用分类模块、隐私信息管理模块和共谋攻击管理模块。应用分类模块利用权限特征向量集构建分类模型,对手机上的...
Android Hook 技术之 绕过系统对Activity验证
07-18
5. **安全考量**:虽然Hook技术能实现灵活的热更新,但绕过系统验证也可能带来安全隐患。因此,在实际应用中,需要权衡性能、安全性和用户体验,合理运用Hook技术,同时确保应用符合Google Play的安全政策。 在提供...
易语言hook技术专题讲解视频教程
06-06
hook简介.mp4。第一章、HOOK原理,手写HOOK.mp4。第七章、Windows消息Hook.mp4。第三章、APIHOOK_上.mp4。第二章、HOOK实现,远程HOOK.mp4。第五章、APIHOOK_下.mp4。第八章、拦截API返回值(完结).mp4。第六章、...
detours hook 完整代码
08-18
win7 x64 可用于64位进程 ring3 级detours钩子ntquerysysteminformation
工控安全入门学习一
最新发布
weixin_47063945的博客
07-16 443
本文为笔者对工控安全进行入门的学习笔记,内容全部来自网络,主要参考自以下几篇优质文章工控安全从入门到实战——概述(一)工控安全入门之攻与防工控网络安全学习路线个人经验泛谈之工控安全入门随着时代的发展,工业控制系统由原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化,产生了大量安全隐患,关键基础设施正逐渐暴露于互联网中,工控系统下的安全问题所包含的软件隐患网络边界隐患环境和硬件隐患等问题,以及工控系统的网络安全协议问题,操作系统的落后补丁的更新不及时缓冲区溢出问题、拒绝服务漏洞、关键设备没有冗余备份。
工控安全系统对抗之HOOK技术
Alsn86的博客
10-20 438
一、 实验要求 分别采用IAT Hook和inline Hook技术对系统函数Hook 利用IAT Hook来挂钩user32.dll中的GetTopWindow函数,实现调用GetTopWindow会弹出提示框 利用Inline Hook技术实现对user32.dll中的MessageBoxA的Hook,实现弹框前,先Beep一声 提示: 考虑到inline Hook实现对新手较难,可以先使用mhook库或Detours库来实现 二、 源代码 #include "windows.h" typede
信安教程第二版-第24章工控安全需求分析与安全保护工程
鹿鸣天涯
08-27 312
第24章 工控安全需求分析与安全保护工程 24.1 工控系统安全威胁与需求分析 526 24.1.1 工业控制系统概念及组成 526 24.1.2 工业控制系统安全威胁分析 529 24.1.3 工业控制系统安全隐患类型 530 24.1.4 工业控制系统安全需求分析 531 24.2 工控系统安全保护机制与技术 532 24.2.1 物理及环境安全防护 532 24.2.2 安全边界保护 532 24.2.3 身份认证与访问控制 533 24.2.4 远程访问安全 533 24.2.5 工控系统安全加固.
用Detours实现APIHOOK
Lassewang的成长历程
08-15 4127
用Detours实现APIHOOK Detours是一个软件开发库,它用于实现拦截Win32二进制代码中的API函数。 它使用一个Jmp指令替换了目标函数的前面几个字节,使得控制直接调用实现的 Detours函数。并通过一个trampoline函数保留了原来函数的功能调用。 我们知道,实现APIHOOK主要有两个重要环节,一是如何把代码注入到目标地 址空间,二是如何让自己的代码被调用。
运用Detours库hook API
Gary's Blog --- A C++ programmer
03-23 1303
本文来自CSDN博客:http://blog.csdn.net/vcPlayer/archive/2008/07/20/2681758.aspx  一、Detours库的来历及下载:        Detours库类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Intercept
遍历对话框中的控件
txyhr63的博客
04-13 317
遍历对话框中的控件 在设计程序时,经常需要访问窗口中的控件,例如清空控件中的文本或为控件添加显示文本。如果为每个控件编写一条语句,会很麻烦,下面介绍一种简单的方法。因为控件也是窗口,所以可以使用CWnd类的方法操作控件,GetTopWindow方法可以获得第一个属于CWnd的子窗口,GetNextWindow方法返回窗口管理器中的下一个窗口。通过这两个方法就可以实现遍历对话框中所有控件的功能。 (1)创建一个基于对话框的应用程序。 (2)向对话框添加3个编辑框控件和3个按钮控件。 (3)在主窗口的OnIni
枚举控件
若水的专栏
06-11 1384
HWND CurWindowHandle=::GetTopWindow(NULL); do { TCHAR TitleText[500]; ::GetWindowText(CurWindowHandle,TitleText,500); if(StrStr(TitleText,_T("格式化"))!=NULL) //找到格式化对话
SSDT HOOK技术实现Ring0级进程保护组件解析
经典教程 - 基于SSDTHOOK技术的Ring0级进程保护组件设计与实现" 这篇教程详细阐述了如何利用SSDT(System Service Descriptor Table)HOOK技术来设计和实现一个Ring0级别的进程保护组件。SSDT是Windows操作系统中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

七月花nancy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值