IAT HOOK

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量597 收藏 1
点赞数 1
分类专栏: Win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44711063/article/details/114680626
版权

IAT HOOK

IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程

举例:

比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程

案例:

实现IAT hook,要求返回函数MessageBox的参数、返回值到控制台,并且能正确执行MessageBox。在hook完后,程序后面能正常使用MessageBox

  • IAT hook 安装
    • 得到模块基址
    • 通过基址找到IAT表
    • 通过IAT表找到MessageBox的地址
    • 保存MessageBox的地址
    • 修改IAT表
  • 执行函数
    • 打印参数、返回值到控制台 (自已想要的功能)
    • 定义MessageBox函数指针
    • 执行MessageBox (让用户不知道被hook了)
  • IAT hook卸载
    • 得到模块基址
    • 通过基址找到IAT表
    • 通过IAT表找到MessageBox的地址
    • 修改为原本MessageBox的地址

注意点:MessageBox地址块处是不能写入的,需要用VirtualProtect更改保护属性

DWORD oldProtected;
VirtualProtect(pIATData, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);//修改内存保护属性
*pIATData = FuncAddr;
VirtualProtect(pIATData, 0x1000, oldProtected, &oldProtected);			//还原属性

C++编写风格,阅读可能不太方便
Hook_IAT.h头文件

#pragma once
#include <iostream>
#include <windows.h>
#include <stdio.h>
#include <string.h>
class Hook_IAT
{
	DWORD ImageBase;
	DWORD ImportAddr;
	DWORD SourceFunAddr;
	DWORD pIatAddr;
public:
	Hook_IAT()
	{
		ImageBase = 0;
		ImportAddr = 0;
		SourceFunAddr = 0;
		pIatAddr = 0;
	}
	Hook_IAT(DWORD num)
	{
		Init(num);
	}
public:
	DWORD GetPrcBase();
	DWORD GetDirAddr();
	DWORD ReplaceFuncAddr(char* DllName, char* FuncName,DWORD FuncAddr);
	void  Unstall(DWORD Addr);
private:
	void Init(DWORD num);
};

Hook_IAT.cpp源文件

#include "Hook_IAT.h"

//根据表序号初始化
void Hook_IAT::Init(DWORD num)
{
	//1.得到基址
	this->ImageBase = (DWORD)::GetModuleHandle(NULL);


	//2.得到导入表
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)ImageBase;
	if (pDos->e_magic != IMAGE_DOS_SIGNATURE || *(PDWORD)((DWORD)pDos + pDos->e_lfanew) != IMAGE_NT_SIGNATURE)
	{
		//std::cout << std::hex<<pDos->e_lfanew << std::endl;
		return ;
	}
	PIMAGE_FILE_HEADER pFile = (PIMAGE_FILE_HEADER)((DWORD)pDos + pDos->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionalFile = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFile + IMAGE_SIZEOF_FILE_HEADER);
	DWORD ImportSec = ((DWORD)ImageBase + pOptionalFile->DataDirectory[num].VirtualAddress);
	this->ImportAddr = ImportSec;
}


//替换地址,返回原来地址
DWORD Hook_IAT::ReplaceFuncAddr(char* DllName, char* FuncName, DWORD FuncAddr)
{
	//1、找到对应dll
	PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)ImportAddr;
	while (pImport->Name!=0)			//最后会留一个空结构,这里就简单用Name判断
	{
		if (strcmp((char*)(this->ImageBase + pImport->Name), DllName) == 0)
		{
			std::cout << "DLL:"<<(char*)(this->ImageBase + pImport->Name) << std::endl;
			break;
		}
		pImport++;
	}
	//2、找到对应dll的IAT表和INT表
	PDWORD pIATData = (PDWORD)(this->ImageBase + pImport->FirstThunk);
	PDWORD pINTData = (PDWORD)(this->ImageBase + pImport->OriginalFirstThunk);
	
	//3、根据名字找到原函数位置(IAT表中的下标)
	while (*(PDWORD)pINTData != 0)
	{
		if ((*pINTData & 0x80000000) == 0x80000000)
		{
			std::cout << "序号:" << (*pINTData & 0x7fffffff) << std::endl;
		}
		else 
		{
			PIMAGE_IMPORT_BY_NAME pINTName = (PIMAGE_IMPORT_BY_NAME)(this->ImageBase+*pINTData);
			std::cout << "名字:" << pINTName->Name << std::endl;
			if (strcmp(pINTName->Name, FuncName) == 0)								//查找到相同名字
			{
				break;
			}
		}
		pINTData++;
		pIATData++;				
	}
	//4、保存原来的地址 和 记录改变的地址
	DWORD SourcePrcAddr = *pIATData;
	this->pIatAddr = (DWORD)pIATData;
	//5、替换函数
	DWORD oldProtected;
	VirtualProtect(pIATData, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);		//修改内存保护属性
	*pIATData = FuncAddr;
	VirtualProtect(pIATData, 0x1000, oldProtected, &oldProtected);					//还原属性
	//6、返回原来函数地址
	return SourcePrcAddr;
}

//替换原来的地址
void Hook_IAT::Unstall(DWORD Addr)
{
	DWORD oldProtected;
	PDWORD addr = (PDWORD)this->pIatAddr;
	VirtualProtect(addr, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);			//修改内存保护属性
	*addr = Addr;
	VirtualProtect(addr, 0x1000, oldProtected, &oldProtected);						//还原属性
}

提供私有变量返回
//获取Iamgebase
DWORD Hook_IAT::GetPrcBase()
{
	return ImageBase;
}
//获取表的地址
DWORD Hook_IAT::GetDirAddr()
{
	return ImportAddr;
}

主函数 main

#include "Hook_IAT.h"
using namespace std;
#define REPLACE 02E104B
#define IAT 0x1
//多字符
int WINAPI PrintMessageA(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
{
    //打印MessageBoxA的参数
    cout << "第一个参数:" << hWnd << endl;
    wcout << "第二个参数:" << lpText << endl;
    wcout << "第三个参数:" << lpCaption << endl;
    cout << "第四个参数:" << uType << endl;
 
    //执行真正的MessageBoxA
    HMODULE hKernel32Mod = NULL;
    hKernel32Mod = LoadLibrary(TEXT("User32.dll"));
    if (hKernel32Mod == NULL)
    {
        return 0;
    }
    typedef int(WINAPI* p)(HWND, LPCTSTR, LPCTSTR, UINT);     //WINAPI函数
    p func = NULL;
    func = (p)GetProcAddress(hKernel32Mod, "MessageBoxA");
    if (func == NULL)
    {
        return 0;
    }
    func(hWnd, lpText, lpCaption, uType);

    return 0;
}

//宽字符
 int WINAPI PrintMessageW(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType)
{
     //打印MessageBoxW的参数
     cout << "第一个参数:" << hWnd << endl;
     wcout << "第二个参数:" << lpText << endl;
     wcout << "第三个参数:" << lpCaption << endl;
     cout << "第四个参数:" << uType << endl;

     //执行真正的MessageBoxW
     HMODULE hKernel32Mod = NULL;
     hKernel32Mod = LoadLibrary(L"User32.dll");
     if (hKernel32Mod == NULL)
     {
         return 0;
     }
     typedef int(WINAPI* p)(HWND, LPCTSTR, LPCTSTR, UINT);     //WINAPI函数
     p func = NULL;
     func = (p)GetProcAddress(hKernel32Mod, "MessageBoxW");
     if (func == NULL)
     {
         return 0;
     }
     func(hWnd, lpText, lpCaption, uType);
    
     return 0;
}


 //并没有严格按照C++风格编写
int main()
{
    cout << hex;
    Hook_IAT Install(IAT);
  
    //1、安装IAT_HOOK     通过Dll名和函数名 保存函数地址并修改IAT表
    char DllName[20] = "USER32.dll";
    char FuncName[30] = "MessageBoxW";
    DWORD SourceFunAddr = Install.ReplaceFuncAddr(DllName,FuncName,(DWORD)PrintMessageW);
   
    //2、这时使用MessageBox就是其他函数
    MessageBox(NULL, L"ERROR", L"123", MB_OK);
  
    //3、卸载IAT_HOOK      
    Install.Unstall(SourceFunAddr);

    //4、这时使用MessageBox就是正常的
    MessageBox(NULL, L"ERROR", L"123", MB_OK);

    return 0;
}

实验结果:在调用MessageBox时在控制台输出该函数的参数
在这里插入图片描述

小鱼吃大鱼ni
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
IAT HOOK
热门推荐
enjoy5512的博客
06-02 1万+
IAT Hook的实现
IAT Hook
Tandy12356_的博客
05-26 1857
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
深入IAT HOOK
无心的博客
07-13 2169
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入表,在调用函数的时候,我们CALL的是导入地址表的一个地址,为什么要调用这里,而且在构造导入表的时候,导入名称表(INT)和导入地址表(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT表的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT表的填写 在上一篇文章中,我们构造导入表的时候,将 IAT 表和 INT 表都
4.3 IAT Hook 挂钩技术
最新发布
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 683
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
C++封装IATHOOK类实例
09-04
在C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
Hook IAT hookdll资源表
11-21
`IATHook.cpp`是实现部分,而`IATHook.h`是头文件,包含接口声明和必要的类型定义。 4. **API HOOK IAT方法**: 实现Hook IAT有多种方法,包括: - **原地替换法**:直接修改目标进程的IAT,用钩子函数的地址替换...
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
IAT+HOOK+纯手工出品+适合新手学习.zip
03-08
这个是用到了superEC和精易模块,其他就是几个简单的API(模块中自带). 搜索了一下论坛,2014年有个帖子,但是测试了一下不行,需要有dll.... 适合新手学习!大神勿喷. 注意事项: 1.易语言版本:5.8 2.调试模式不可以,需要编译出来,为了方便下载,编译后打包刚好超过3MB.就没编译. 3.易语言的信息框就是messageboxA,反而模块中的MessageBoxA却hook不到...没有看模块的源码,也不知道是哪个模块里面的.这里请教高手解答一下.. 4.界面很丑 讲一下这个hook的过程吧,比较有意思的,而且还有很大的拓展: 1.exe,dll可以统称为模块,dll其实和exe本质上是一样的.这里统称为PE文件. 2.当PE文件加载到内存的时候,导入表内保存的需要导入的函数列表,会被释放到内存,同时IAT表中原来的xx会被系统修改为真实的地址. 比如messagebox的真实地址就会被保存到进程空间的IAT表中!从此就不变了,除非重启. 3.那么如果我们自己做一个假函数(参数数量,参数类型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候, 就会跳转到我们的函数里面,我们的函数里面可以随意做任何事情.
IAT(import address table) hook C++实例
09-13
C++ 通过导入表(IAT)实现inline hook,已经过测试
通过修改DLL文件的IAT表来实现的hook开发包源码
06-17
通过修改DLL文件的IAT表来实现的hook开发包源码
Native API 和一般 API 的 IAT Hook
09-03
通过一种方式统一实现对Native API 和一般 API 的hook
IAT Hook 原理分析与代码编写
CSDN
10-30 4828
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2470
IAT Hook是Ring3层常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
导入地址表钩子IAT HOOK以及内联钩子INLINE HOOK
輚至消亡
07-06 1316
0x00 HOOK简介 HOOK技术是一种非常古老的技术。不管是Windows下的Hook还是Linux下的Hook都是一脉相承,变了外表但实质都是一样的。Hook的意思是钩子,我们通过Hook可以改变进程的执行流程。一般HOOK技术与远程线程注入或者全局钩子来配合使用。前者使我们跳转我们想要执行的代码,后者可以隐藏我们的DLL。在这里我们会通篇进行介绍。 PS 每一篇我都会给一个实例,我觉得...
memcpy hook
08-27
引用中提到,hook可以分为两类:一种是修改函数代码,一种是修改函数地址。其中,修改函数代码的方式可以通过Inline hook实现,而修改函数地址的方式可以通过IAT hook、SSDT hook、IRP hook、IDT hook等方法实现。引用中给出了一个使用memcpy函数进行hook的示例代码。在这个示例中,先定义了一个结构体Thook修改代码,结构体中包含了一些汇编指令和跳转地址等信息。然后通过调用memcpy_s函数,将这个结构体的内容拷贝到目标函数的地址,从而实现对目标函数的hook。同样地,引用中也给出了另一个使用memcpy函数进行hook的示例代码,并且提到了备份被覆盖的代码以及跳转地址等操作。综上所述,可以使用memcpy函数进行hook操作,通过拷贝特定的指令或者结构体内容到目标函数的地址来实现hook。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [浅谈hook攻防](https://blog.csdn.net/hongduilanjun/article/details/124676926)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [各种HOOK方式和检测对抗方法](https://blog.csdn.net/qq_43355637/article/details/127061136)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值