IAT HOOK

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量586 收藏 1
点赞数 1
分类专栏: Win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44711063/article/details/114680626
版权

IAT HOOK

IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程

举例:

比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程

案例:

实现IAT hook,要求返回函数MessageBox的参数、返回值到控制台,并且能正确执行MessageBox。在hook完后,程序后面能正常使用MessageBox

  • IAT hook 安装
    • 得到模块基址
    • 通过基址找到IAT表
    • 通过IAT表找到MessageBox的地址
    • 保存MessageBox的地址
    • 修改IAT表
  • 执行函数
    • 打印参数、返回值到控制台 (自已想要的功能)
    • 定义MessageBox函数指针
    • 执行MessageBox (让用户不知道被hook了)
  • IAT hook卸载
    • 得到模块基址
    • 通过基址找到IAT表
    • 通过IAT表找到MessageBox的地址
    • 修改为原本MessageBox的地址

注意点:MessageBox地址块处是不能写入的,需要用VirtualProtect更改保护属性

DWORD oldProtected;
VirtualProtect(pIATData, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);//修改内存保护属性
*pIATData = FuncAddr;
VirtualProtect(pIATData, 0x1000, oldProtected, &oldProtected);			//还原属性

C++编写风格,阅读可能不太方便
Hook_IAT.h头文件

#pragma once
#include <iostream>
#include <windows.h>
#include <stdio.h>
#include <string.h>
class Hook_IAT
{
	DWORD ImageBase;
	DWORD ImportAddr;
	DWORD SourceFunAddr;
	DWORD pIatAddr;
public:
	Hook_IAT()
	{
		ImageBase = 0;
		ImportAddr = 0;
		SourceFunAddr = 0;
		pIatAddr = 0;
	}
	Hook_IAT(DWORD num)
	{
		Init(num);
	}
public:
	DWORD GetPrcBase();
	DWORD GetDirAddr();
	DWORD ReplaceFuncAddr(char* DllName, char* FuncName,DWORD FuncAddr);
	void  Unstall(DWORD Addr);
private:
	void Init(DWORD num);
};

Hook_IAT.cpp源文件

#include "Hook_IAT.h"

//根据表序号初始化
void Hook_IAT::Init(DWORD num)
{
	//1.得到基址
	this->ImageBase = (DWORD)::GetModuleHandle(NULL);


	//2.得到导入表
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)ImageBase;
	if (pDos->e_magic != IMAGE_DOS_SIGNATURE || *(PDWORD)((DWORD)pDos + pDos->e_lfanew) != IMAGE_NT_SIGNATURE)
	{
		//std::cout << std::hex<<pDos->e_lfanew << std::endl;
		return ;
	}
	PIMAGE_FILE_HEADER pFile = (PIMAGE_FILE_HEADER)((DWORD)pDos + pDos->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionalFile = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFile + IMAGE_SIZEOF_FILE_HEADER);
	DWORD ImportSec = ((DWORD)ImageBase + pOptionalFile->DataDirectory[num].VirtualAddress);
	this->ImportAddr = ImportSec;
}


//替换地址,返回原来地址
DWORD Hook_IAT::ReplaceFuncAddr(char* DllName, char* FuncName, DWORD FuncAddr)
{
	//1、找到对应dll
	PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)ImportAddr;
	while (pImport->Name!=0)			//最后会留一个空结构,这里就简单用Name判断
	{
		if (strcmp((char*)(this->ImageBase + pImport->Name), DllName) == 0)
		{
			std::cout << "DLL:"<<(char*)(this->ImageBase + pImport->Name) << std::endl;
			break;
		}
		pImport++;
	}
	//2、找到对应dll的IAT表和INT表
	PDWORD pIATData = (PDWORD)(this->ImageBase + pImport->FirstThunk);
	PDWORD pINTData = (PDWORD)(this->ImageBase + pImport->OriginalFirstThunk);
	
	//3、根据名字找到原函数位置(IAT表中的下标)
	while (*(PDWORD)pINTData != 0)
	{
		if ((*pINTData & 0x80000000) == 0x80000000)
		{
			std::cout << "序号:" << (*pINTData & 0x7fffffff) << std::endl;
		}
		else 
		{
			PIMAGE_IMPORT_BY_NAME pINTName = (PIMAGE_IMPORT_BY_NAME)(this->ImageBase+*pINTData);
			std::cout << "名字:" << pINTName->Name << std::endl;
			if (strcmp(pINTName->Name, FuncName) == 0)								//查找到相同名字
			{
				break;
			}
		}
		pINTData++;
		pIATData++;				
	}
	//4、保存原来的地址 和 记录改变的地址
	DWORD SourcePrcAddr = *pIATData;
	this->pIatAddr = (DWORD)pIATData;
	//5、替换函数
	DWORD oldProtected;
	VirtualProtect(pIATData, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);		//修改内存保护属性
	*pIATData = FuncAddr;
	VirtualProtect(pIATData, 0x1000, oldProtected, &oldProtected);					//还原属性
	//6、返回原来函数地址
	return SourcePrcAddr;
}

//替换原来的地址
void Hook_IAT::Unstall(DWORD Addr)
{
	DWORD oldProtected;
	PDWORD addr = (PDWORD)this->pIatAddr;
	VirtualProtect(addr, 0x1000, PAGE_EXECUTE_READWRITE, &oldProtected);			//修改内存保护属性
	*addr = Addr;
	VirtualProtect(addr, 0x1000, oldProtected, &oldProtected);						//还原属性
}

提供私有变量返回
//获取Iamgebase
DWORD Hook_IAT::GetPrcBase()
{
	return ImageBase;
}
//获取表的地址
DWORD Hook_IAT::GetDirAddr()
{
	return ImportAddr;
}

主函数 main

#include "Hook_IAT.h"
using namespace std;
#define REPLACE 02E104B
#define IAT 0x1
//多字符
int WINAPI PrintMessageA(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
{
    //打印MessageBoxA的参数
    cout << "第一个参数:" << hWnd << endl;
    wcout << "第二个参数:" << lpText << endl;
    wcout << "第三个参数:" << lpCaption << endl;
    cout << "第四个参数:" << uType << endl;
 
    //执行真正的MessageBoxA
    HMODULE hKernel32Mod = NULL;
    hKernel32Mod = LoadLibrary(TEXT("User32.dll"));
    if (hKernel32Mod == NULL)
    {
        return 0;
    }
    typedef int(WINAPI* p)(HWND, LPCTSTR, LPCTSTR, UINT);     //WINAPI函数
    p func = NULL;
    func = (p)GetProcAddress(hKernel32Mod, "MessageBoxA");
    if (func == NULL)
    {
        return 0;
    }
    func(hWnd, lpText, lpCaption, uType);

    return 0;
}

//宽字符
 int WINAPI PrintMessageW(HWND hWnd, LPCTSTR lpText,LPCTSTR lpCaption,UINT uType)
{
     //打印MessageBoxW的参数
     cout << "第一个参数:" << hWnd << endl;
     wcout << "第二个参数:" << lpText << endl;
     wcout << "第三个参数:" << lpCaption << endl;
     cout << "第四个参数:" << uType << endl;

     //执行真正的MessageBoxW
     HMODULE hKernel32Mod = NULL;
     hKernel32Mod = LoadLibrary(L"User32.dll");
     if (hKernel32Mod == NULL)
     {
         return 0;
     }
     typedef int(WINAPI* p)(HWND, LPCTSTR, LPCTSTR, UINT);     //WINAPI函数
     p func = NULL;
     func = (p)GetProcAddress(hKernel32Mod, "MessageBoxW");
     if (func == NULL)
     {
         return 0;
     }
     func(hWnd, lpText, lpCaption, uType);
    
     return 0;
}


 //并没有严格按照C++风格编写
int main()
{
    cout << hex;
    Hook_IAT Install(IAT);
  
    //1、安装IAT_HOOK     通过Dll名和函数名 保存函数地址并修改IAT表
    char DllName[20] = "USER32.dll";
    char FuncName[30] = "MessageBoxW";
    DWORD SourceFunAddr = Install.ReplaceFuncAddr(DllName,FuncName,(DWORD)PrintMessageW);
   
    //2、这时使用MessageBox就是其他函数
    MessageBox(NULL, L"ERROR", L"123", MB_OK);
  
    //3、卸载IAT_HOOK      
    Install.Unstall(SourceFunAddr);

    //4、这时使用MessageBox就是正常的
    MessageBox(NULL, L"ERROR", L"123", MB_OK);

    return 0;
}

实验结果:在调用MessageBox时在控制台输出该函数的参数
在这里插入图片描述

小鱼吃大鱼ni
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C/C++ IAT HOOK MessageBoxW
CSDN
07-16 4860
IATHook(Import Address Table Hook)是一种用于修改函数导入表的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入表中的函数地址,实现对目标函数的劫持和重定向。
IAT Hook
Tandy12356_的博客
05-26 1803
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
4.3 IAT Hook 挂钩技术
最新发布
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 652
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
IAT HOOK
azraelxuemo的博客
01-25 458
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改了IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
基于 IAT hook 的文件隐藏功能 完整代码+报告
01-12
通过 IAT Hook 的方法篡改它们的导入表,使这两个程序查看不到文件系统中指定名称的文件。 三 实验过程 1、主程序 (1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”...
C++封装IATHOOK类实例
09-04
在C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
Hook IAT hookdll资源表
11-21
`IATHook.cpp`是实现部分,而`IATHook.h`是头文件,包含接口声明和必要的类型定义。 4. **API HOOK IAT方法**: 实现Hook IAT有多种方法,包括: - **原地替换法**:直接修改目标进程的IAT,用钩子函数的地址替换...
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
IAT HOOK教程.zip
09-25
IAT HOOK教程.zip
Native API 和一般 API 的 IAT Hook
09-03
标题中的“Native API 和一般 API 的 IAT Hook”是指在编程中使用钩子技术来拦截和修改系统调用或库函数的行为。IAT(Import Address Table)是Windows操作系统中的一个概念,它存储了程序在运行时如何访问导入的...
IAT hook实现 (修改pe中的导入表实现hook)
&Ψ的博客
07-21 1396
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入表,导入表中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入表,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
IAT HOOK DEMO win32/win64
HeroRazor的专栏
09-16 436
主要参考这个文章,但是修改了x64上的bug https://blog.csdn.net/yao_yu_126/article/details/12388779?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-10.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-
memcpy hook
08-27
引用中提到,hook可以分为两类:一种是修改函数代码,一种是修改函数地址。其中,修改函数代码的方式可以通过Inline hook实现,而修改函数地址的方式可以通过IAT hook、SSDT hook、IRP hook、IDT hook等方法实现。引用中给出了一个使用memcpy函数进行hook的示例代码。在这个示例中,先定义了一个结构体Thook修改代码,结构体中包含了一些汇编指令和跳转地址等信息。然后通过调用memcpy_s函数,将这个结构体的内容拷贝到目标函数的地址,从而实现对目标函数的hook。同样地,引用中也给出了另一个使用memcpy函数进行hook的示例代码,并且提到了备份被覆盖的代码以及跳转地址等操作。综上所述,可以使用memcpy函数进行hook操作,通过拷贝特定的指令或者结构体内容到目标函数的地址来实现hook。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [浅谈hook攻防](https://blog.csdn.net/hongduilanjun/article/details/124676926)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [各种HOOK方式和检测对抗方法](https://blog.csdn.net/qq_43355637/article/details/127061136)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值