Hook技术:IAT Hook详细讨论修改IAT地址和恢复

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量2.3k 收藏 9
点赞数 4
分类专栏: PE文件 HOOK技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/106151669
版权
本文详细介绍了IAT Hook的技术原理,包括函数原本的调用流程、实现原理和流程,以及具体以Messagebox为例的实现步骤。在Hook过程中,通过修改IAT中的函数地址实现API Hook,并在需要时恢复原始API地址,以确保HOOK的有效性。
摘要由CSDN通过智能技术生成

IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
之前写过讨论IAT的帖子:《PE结构:导入表中的双桥结构》:https://blog.csdn.net/weixin_43742894/article/details/106150321

IAT结构:

struct _IMAGE_THUNK_DATA32{
   
    union {
   
        DWORD ForwarderString; //指向一个转向者字符串的RVA
        DWORD Function ;       //被输入的函数的内存地址
        DWORD Ordinal ;        //被输入的API的序数值
       DWORD  AddressOfData ;  //高位为0则指向IMAGE_IMPORT_BY_NAME 结构体二
    }u1;
}IMAGE_THUNK_DATA32;

我们重点讨论的就是hook的地址,也就是IAT中的函数地址:Function。
在PE加载过程中,双桥结构断裂之后,IAT中存放的就是函数的真实地址,我们修改这个地址也就是实现了Hook。

函数原本调用流程

原来的调用过程:
call [aaaaa] => IAT[aaaaaa]::bbbbb => xxx.dll::bbbbb
ret后
next code of call [aaaaa] <= next ret of xxx.dll::bbbbb

实现原理及流程

实现原理:
在进行Windows编程的时候,我们会经常使用Windows的API函数。而我们的API函数一般都是写在dll里,导入表里写着加载的dll和函数,代表该模块调用了哪些外部API,模块被加载到内存后, PE加载器会修改该表,地址改成外部API重定位后的真实地址, 我们只要直接把里面的地址改成我们新函数的地址, 就可以完成对相应API的Hook。
实现流程:
1、在Dll里构造Detour函数(也就是我们自己的函数)
2、获取Target函数地址,并找到Target函数所在的IAT的地址
3、保存原始的IAT地址和IAT地址所存储的内容
4、修改IAT地址中的数据(前提:修改内存属性为可写)
5、恢复IAT
如果需要调用原来API函数,可以直接使用保存的API地址,可以就保证了HOOK的有效性

具体实现:

本文以Messagebox为例:
一、在Dll里构造Detour函数
自己的函数参数和返回值要保持与原函数一致。
这一点的目的是为了平衡堆栈。

typedef int(WINAPI *PFN_MessageBoxA)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType);
int WINAPI My_MessageBoxA(
    HWND hWnd,
    LPCTSTR lpText,
    LPCTSTR lpCaption,
    UINT uType
)

这里面我们主要要实现的俩步
1.我们自己想要实现的功能
2.调用原来的函数

int WINAPI MyMessageBox(_In_opt_ HWND hWnd, _In_opt_ LPCSTR lpText, _In_opt_ LPCSTR lpCaption, _In_ UINT uType)
{
   

	char szHookText[] = "IBinary -> Iat Hook";
	if (g_OldPfnMsgA != nullptr)
	{
   
		return g_OldPfnMsgA(hWnd, szHookText, lpCaption, uType);//调用以前的
	}
	return 0
最低0.47元/天 解锁文章
王大碗Dw
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入IAT HOOK
无心的博客
07-13 2166
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入表,在调用函数的时候,我们CALL的是导入地址表的一个地址,为什么要调用这里,而且在构造导入表的时候,导入名称表(INT)和导入地址表(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT表的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT表的填写 在上一篇文章中,我们构造导入表的时候,将 IAT 表和 INT 表都
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
C++基于hook iat改变Messagebox实例
09-04
主要介绍了C++基于hook iat改变Messagebox的方法,以实例形式展示了针对IAT(即导入地址表)以及hook的操作,有助于深入理解Windows程序设计原理,需要的朋友可以参考下
4.3 IAT Hook 挂钩技术
最新发布
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 652
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
修改exe PE格式中的IAT API钩子 通过修改IAT表实现 截获API调用,替换之.zip
01-19
修改PE格式中的IAT API钩子 通过修改IAT表实现 截获API调用,替换之.zip
IAT Hook
Tandy12356_的博客
05-26 1803
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
IAT HOOK
weixin_44711063的博客
03-11 586
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
IAT HOOK
azraelxuemo的博客
01-25 458
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题中的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
标题 "iat_hook.zip" 涉及的是IAT(Import Address Table)钩子技术,这是一种在Windows编程中常用于拦截函数调用的技术IAT钩子通常与逆向工程、调试和安全研究有关。在VB(Visual Basic)环境中实现IAT钩子,可以...
iat输入表hook的源码
09-14
IATHook技术是一种常用的系统钩子技术,用于拦截和修改其他进程中的函数调用,从而实现诸如调试、监控、注入代码等功能。以下是对"IAT输入表hook的源码"进行详细解释的知识点: 1. **导入地址表(IAT)** - IAT是PE...
C++封装IATHOOK类实例
09-04
下面将详细讨论如何在C++中封装IATHOOK类以及其实现方法。 首先,IATHOOK类的封装涉及到定义静态成员变量,这些变量将作为要挂钩的函数的代理。例如,在给定的代码中,我们看到几个静态成员变量`sm_LoadLibraryA`, ...
【干货】【C语言实现HOOK 跳转和用C语言变量存储目标进程的寄存器数值】 CALL / JMP/ MOV 变量内存地址
追逐光芒,追随内心
03-12 893
有的时候要写CALL ,就用下面的 void WriteCall(DWORD ProcAddr,LPVOID lpData) { BYTE _data[5]; _data[0]=0xE8; DWORD OldPro; VirtualProtect((LPVOID)(ProcAddr),5,PAGE_EXECUTE_READWRITE,&OldPro); memcpy((LPVOID)(_data+1),lpData,4);//_data是变量的内存地址 memcpy((LPVOID)(ProcAdd
IAT hook实现 (修改pe中的导入表实现hook)
&Ψ的博客
07-21 1396
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入表,导入表中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入表,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
C/C++ IAT HOOK MessageBoxW
CSDN
07-16 4860
IATHook(Import Address Table Hook)是一种用于修改函数导入表的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入表中的函数地址,实现对目标函数的劫持和重定向。
导入地址表钩子IAT HOOK以及内联钩子INLINE HOOK
輚至消亡
07-06 1283
0x00 HOOK简介 HOOK技术是一种非常古老的技术。不管是Windows下的Hook还是Linux下的Hook都是一脉相承,变了外表但实质都是一样的。Hook的意思是钩子,我们通过Hook可以改变进程的执行流程。一般HOOK技术与远程线程注入或者全局钩子来配合使用。前者使我们跳转我们想要执行的代码,后者可以隐藏我们的DLL。在这里我们会通篇进行介绍。 PS 每一篇我都会给一个实例,我觉得...
PE文件:VA、RVA和FOA
weixin_43742894的博客
03-31 5295
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
Error in mounted hook: ReferenceError: requestCtxs is not defined
03-28
As an AI language model, I do not have access to the specific context of your code or application. However, based on the error message, it seems to indicate that there is a missing or undefined variable or function called "requestCtxs" in the mounted hook. You may need to check your code and ensure that this variable or function is properly defined and accessible within the scope of the mounted hook. Alternatively, there may be a typo or syntax error that is preventing the variable or function from being recognized. It is also possible that the error is caused by a problem with the dependencies or modules that your code is using. You may need to check that all the required dependencies are installed and up-to-date. If you are still unable to resolve the issue, you may need to seek further assistance from a developer or technical support.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值