Near call hook

最新推荐文章于 2024-11-10 14:34:06 发布
最新推荐文章于 2024-11-10 14:34:06 发布
阅读量135 收藏
点赞数
分类专栏: windows编程 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43799752/article/details/128105955
版权

今天实现一波Hook目标进程的MessageBoxA,当然其他的API都是一样的。
Hook API和DLL注入很像,唯一不同点在于DLL内的操作:

// hook_dll.cc
#include <iostream>
#include <windows.h>

#ifndef HOOK_DLL_API
#define HOOK_DLL_API extern "C" __declspec(dllimport)

BYTE originalCode[6] = {0};
LPVOID messageBoxAddress;

int WINAPI HookedMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption,
                             UINT uType) {
  std::cout << "HookedMessageBoxA" << std::endl;
  WriteProcessMemory(GetCurrentProcess(), messageBoxAddress, originalCode,
                     sizeof(originalCode), NULL);
  MessageBoxA(hWnd, lpText, lpCaption, uType);
  return 0;
}

DWORD WINAPI HookMessageBoxA() {
  HINSTANCE library = LoadLibraryA("user32.dll");

  // get address of the MessageBox function in memory
  messageBoxAddress = (LPVOID)GetProcAddress(library, "MessageBoxA");
  memcpy(originalCode, messageBoxAddress, 6);
  ReadProcessMemory(GetCurrentProcess(), messageBoxAddress, originalCode, 6,
                    NULL);
  BYTE shellcode[6] = {
      0x68, 0x0, 0x0, 0x0, 0x0, // PUSH 0x00000000
      0xC3                      // RETN
  };
  void *HookedMessageBoxAAddress = (LPVOID)&HookedMessageBoxA;
  std::cout << "HookedMessageBoxA" << (DWORD)&HookedMessageBoxA << std::endl;
  memcpy(&shellcode[1], (LPVOID)&HookedMessageBoxAAddress, 4);
  WriteProcessMemory(GetCurrentProcess(), messageBoxAddress, shellcode,
                     sizeof(shellcode), NULL);

  for (int i = 0; i < sizeof(shellcode); i++) {
    std::cout << std::hex << int(shellcode[i]);
  }
  return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, // handle to DLL module
                    DWORD fdwReason,    // reason for calling function
                    LPVOID lpvReserved) // reserved
{
  // Perform actions based on the reason for calling.
  switch (fdwReason) {
  case DLL_PROCESS_ATTACH: {
    // Initialize once for each new process.
    // Return FALSE to fail DLL load.
    HANDLE thread = CreateThread(
        NULL, 0, (LPTHREAD_START_ROUTINE)&HookMessageBoxA, NULL, 0, NULL);
    CloseHandle(thread);
    break;
  }

  case DLL_THREAD_ATTACH:
    // Do thread-specific initialization.
    break;

  case DLL_THREAD_DETACH:
    // Do thread-specific cleanup.
    break;

  case DLL_PROCESS_DETACH:

    if (lpvReserved != nullptr) {
      break; // do not do cleanup if process termination scenario
    }

    // Perform any necessary cleanup.
    break;
  }
  return TRUE; // Successful DLL_PROCESS_ATTACH.
}

#endif // HOOK_DLL_API

这里重点关注下HookMessageBoxA这个函数,这里面构造了一个6字节的shellcode,执行了一个push和一个ret,这俩就相当于一个jmp。但我们为啥没直接用jmp呢,因为jmp后面要接一个offset,我们不去算这个offset就直接用一个push+ret代替。

然后我们把push后面的地址换成HookedMessageBoxA函数指针,注意memcpy的时候要对HookedMessageBoxA函数指针再取地址,这样HookedMessageBoxA函数指针就会写入到push后面。我一开始直接把&HookedMessageBoxA作为参数传进了memcpy,然后发现拼接好的shellcode一直不对。

拼接好之后先保存下MessageBoxA开头的6个字节,为了后面自定义操作之后调用MessageBoxA。然后使用MessageBoxA将shellcode写入MessageBoxA。

HookedMessageBoxA很简单,输出一行字符串,把原来MessageBoxA开头6字节写回去然后调用MessageBoxA即可。

// target.cc
#include <iostream>
#include <windows.h>

int main() {
  std::cout << "process ID: " << GetCurrentProcessId();
  while (true) {
    MessageBoxA(NULL, "This is a target client", "Notice", MB_OK);
    getchar();
  }
}


// client.cc
#include <iostream>
#include <windows.h>

constexpr char kDllPath[] =
    "C:\\Users\\chuzhang\\Desktop\\DummyProgram\\hook\\hook_dll.dll";

int main() {
  std::cout << "input process id: " << std::endl;
  int processId;
  std::cin >> processId;
  HANDLE process = OpenProcess(PROCESS_ALL_ACCESS, false, processId);
  if (!process) {
    std::cout << "open process failed, erorr: " << GetLastError() << std::endl;
    return 1;
  }

  LPVOID allocatedAddress = VirtualAllocEx(process, NULL, strlen(kDllPath) + 1,
                                           MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  bool res = WriteProcessMemory(process, allocatedAddress, kDllPath,
                                strlen(kDllPath) + 1, NULL);
  if (!res) {
    std::cout << "write memory failed, erorr: " << GetLastError() << std::endl;
    return 1;
  }
  LPVOID loadLibraryAAdress =
      (LPVOID)GetProcAddress(GetModuleHandleA("kernel32"), "LoadLibraryA");
  if (loadLibraryAAdress == NULL) {
    std::cout << "Find function Address failed, erorr: " << GetLastError()
              << std::endl;
    return 1;
  }
  HANDLE thread = CreateRemoteThread(process, NULL, 0,
                                     (LPTHREAD_START_ROUTINE)loadLibraryAAdress,
                                     allocatedAddress, 0, NULL);
  WaitForSingleObject(thread, INFINITE);
  CloseHandle(thread);
  VirtualFreeEx(process, allocatedAddress, strlen(kDllPath) + 1, MEM_DECOMMIT);
  return 0;
}
摸鱼程序员
关注
专栏目录
SSTD HOOK
qq_50242229的博客
05-06 173
打开一个记事本,只能通过点击关闭按钮或者菜单退出可以,而不能通过其他程序调用TerminateProcess关闭它。首先我们得找到TerminateProcess真正调用的内核函数的函数编号(所以我们需要修改编号101H的函数的地址,更新为我们自己的函数地址0x101但是,我们去修改该地址的值,有可能修改失败,页有可能是只读的,所以我们可以去修改该地址的PDPTE\PDE\PTE的属性,或者可以直接修改CR0寄存器的WP位。
inline hook
zhuhuibeishadiao
04-10 1843
Inline hook的步骤 1。获得要inline hook的函数在内存中的地址 2。实现T_MyFunc()与MyFunc函数,在该函数中将参数压栈并调用MyFunc函数处理。 3。HOOK。保存函数开头的指令到某个内存中,并在该内存末尾附加JMP指令到开头指令的后面的指令。并将开头的指令替换为JMP T_MyFunc地址。 4。在T_MyFunc执行完MyFunc之后,调用保存的指令
HOOK技术
05-16 2022
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 HOOK 什么是HOOK? 用自己写的函数替换目标的函数,以后系统调用目标函数的时候就会调用我们自己的函数,就可以在自己的函数去监控程序执行的逻辑,进行参数的检查,过滤等,进一步拦截、修改、放行。 HOOK发生的在什么地方 ?磁盘?内存? HOOK是发生在内存中,只在此次系统运行期间有效,一旦系统或者程序重启,就需要重新HOOK 有可能在磁盘中函数替换,不叫HOOK,而是叫感染 比如电脑中了病毒,入口点..
中转inline hook,不需要恢复首字节的hook
friendan的专栏
02-23 5573
注:我实验的环境:win7 x64 经验证XP会有稍微区别,主要是我本次实验HOOK的API, 从XP到WIN7微软有了些许改变。 ------------------------------------------------------------------------------------------------------------------------------------
inline hook简介
03-18 194
1、简介 INLINE HOOK原理: Inline Hook通过硬编码的方式向内核API的内存空间(通常是开始的一段字节,且一般在第一个call之前,这么做是为了防止堆栈混乱)写入跳转语句,这样,该API只要被调用,程序就会跳转到我们的函数中来,我们在自己写的函数里需要完成3个任务: 1)重新调整当前堆栈。程序流程在刚刚跳转的时候,...
Object Hook 简单介绍
liujiayu2的专栏
07-18 1477
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
C# Hook鼠标消息
u010217338的博客
04-12 1020
在用C#做一个游戏的脚本,要控制鼠标。在脚本允许的时候,用户乱动鼠标会影响脚本的正常操作,故需要屏蔽掉用户对游戏的鼠标。 之前对hook也不是很了解,在网上搜了一圈,都是hook全局鼠标的,自己试验,全局也hook成功了,在对窗口hook时,怎么都不成功····· 再搜,了解到全局hook,不需要把代码放到线程内执行,对窗口hook,是把自己的代码放到窗口的线程内执行,所以,需要用C++写成DLL
IDT hook KiTrap03
03-02 428
关于idt的基本知识就不进行赘述了,先看一个例子 0x1000: mov eax,0 0x1006: Int 3 ;-------&gt;进入内核,找到中断处理例程KiTrap03 0x1007: Mov eax,1 这段代码执行,触发3号中断,然后开始执行KiTrap03例程,要知道,执行完中断以后还是要回到原来的程序处继续执行的,也就是...
__malloc_hook和__free_hook劫持原理
Grxer的博客
03-20 1263
Hook即钩子,截获API调用的技术,是将执行流程劫持到你自己的代码。刚开始在Ubuntu22上做实验,一直不成功,又换了kali,还是不行,最后发现__free_hook,__malloc_hook,__realloc_hook,_after_morecore_hookg在libc-2.34的patch中被移除了,换了Ubuntu16 libc版本2.23,但是发现只是在ld链接时会找不到definition,也就是无法通过链接的环节,但是在libc库里还是有的,可能是考虑之前使用hook程序的兼容。
C++实现inline hook的原理及应用实例
09-04
- **跳转语句插入**:在目标函数的开始处(通常是第一个call指令之前),我们用跳转指令(如E9的JMP NEAR或EA的JMP FAR)替换原始指令,使得调用者在调用目标函数时,实际上执行了跳转到我们自定义函数的指令。...
做X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2489
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
Kaspersky 7.0 HOOK SSDT分析
shangguanwaner的专栏
12-02 1479
Kaspersky 7.0 HOOK SSDT分析-卡巴驱动klif.sys逆向工程作者:CloudEmail:shangguanwan2@yahoo.cn2007-11-6一、 测试版本和环境卡巴斯基反病毒软件7.0 版本7.0.0.125d (简体中文版)平台:Windows XP Professional(5.1,版本2600)   Mobile Inter? Celeron
xp下sysenter hook-RDMSR-WRMSR
明日帝国的专栏-技术改进生活
10-27 4323
1. 关于sysenter sysexit wrmsr rdmsr请看cpu手册P4_IA32 Intel Architecture Software Developers Manual24547110.pdfpage 3-7632.xp初始化流程KeInitSystem->KiInitMachineDependent->KiRestoreFastSyscallReturnState->KiLo
Linux内存管理(八十一):内存检测工具 kfence(1)
私房菜
10-24 650
本文 kfence 之外的代码版本是基于 Linux5.10,最近需要将 kfence 移植到 Linux5.10 中,本文借此机会将 kfence 机制详细地记录一下。kfence,全称为,是 Linux5.12 版本新引入的内存使用错误检测机制。kfence 基本原理非常简单,它创建了自己的专有检测内存池 kfence_pool。然后在 data page 的两边加上 fence page 电子栅栏,利用 MMU 的特性把 fence page 设置为不可访问。
数据结构之带头双向循环链表
最新发布
2402_84532723的博客
11-10 1338
有了单链表的基础,要实现这个双向循环带头链表其实并不难。下面我们先来了解一下什么是双向循环带头链表。这就是双向循环带头链表的结构图,可以很清晰的看到,这个链表需要两个指针,一个指向后继结点,一个指向前驱节点,其次还需要一个头结点。只是这个头结点并不需要存储有效数据。//存储的数据类型//链表的定义//指向后继节点//指向前驱节点}LTNode;
Windows】CMD命令学习——系统命令
一个写了10年bug的程序员日常笔记。
11-07 1261
CMD(命令提示符)是Windows操作系统中的一个命令行解释器,允许用户通过输入命令来执行各种系统操作。
检测敏感词功能
qq_48512649的博客
11-08 400
然后我得先对这些txt文件进行处理转换成我们能用的格式:一开始我直接for循环查找是否含有敏感词,后边找资料看到一个DFA算法。这样处理过后的数据就是List,或者可以处理成数组、集合都可以。不管是什么格式的总之量非常多,把我这辈子脏话都囊括了🥶。我把处理出来的数据放在HashSet中。
AscendC从入门到精通系列(一)初步感知AscendC
xyz3120的专栏
11-08 539
Ascend C是CANN针对算子开发场景推出的编程语言,原生支持C和C++标准规范,兼具开发效率和运行性能。基于Ascend C编写的算子程序,通过编译器编译和运行时调度,运行在昇腾AI处理器上。使用Ascend C,开发者可以基于昇腾AI硬件,高效的实现自定义的创新算法。
关于Flutter空安全升级方案整理
清风洒脱
11-08 1006
Flutter 从 2.0 版本开始支持空安全(Null Safety)。升级到空安全后,由于语法的变动,基本上整个工程,代码都爆红,这对项目来说简直是灾难性的打击,不升级的话只是缓兵之计,因为随着时间的推移,flutter将不再维护非空安全的版本,同时一些三方库也将无法使用,因此空安全升级变成了一个不得不做的事情,项目越复杂需要的时间也就越持久,考虑到对项目的稳定性,和开发周期。选择一个合适自己项目的迁移方案非常重要。下面自己会讲下自己对空安全迁移的理解和实施方案,目前成功迁移几个项目,还是比较有经验的。
武林HOOK注入CALL技术分享与意见征求
资源摘要信息:"该资源主要提供了一个名为“武林HOOK注入CALL”的HOOK实例。HOOK技术作为一种常用于软件开发和系统分析的高级技术手段,主要通过拦截API函数调用或消息/事件处理机制,实现对程序运行过程中的特定行为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值