热补丁反调试API Hook—上跳/下跳

已于 2024-09-30 14:16:25 修改
阅读量252 收藏
点赞数
分类专栏: HOOK 反调试 文章标签: windows 汇编
于 2024-09-30 14:15:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48257887/article/details/142654649
版权

以 IsDebuggerPresent 函数为例,可以看到可以上跳(简单),也可以下跳(复杂)。

上跳:


BYTE NewCodes[2] = { 0xEB,0xF9 };
BYTE JmpCode[5] = { 0xE9,0 };
BYTE oldCodes[2] = { 0 };

BOOL Mydebug()
{
    return FALSE;
}

void Hook()
{
	PVOID funaddr = GetProcAddress(GetModuleHandleA("Kernel32.dll"), "IsDebuggerPresent");
	memcpy(oldCodes, funaddr, 2);//UnHook用
	DWORD lpflOldProtect;
	VirtualProtect((LPVOID)((DWORD)funaddr - 5), 7, PAGE_EXECUTE_READWRITE, &lpflOldProtect);
	memcpy(funaddr, NewCodes, 2);
	DWORD dwFuncAddr = ((DWORD)Mydebug - (DWORD)funaddr);
	*(DWORD*)(JmpCode + 1) = dwFuncAddr;
	memcpy((PVOID)((DWORD)funaddr - 5), JmpCode, 5);
	VirtualProtect((LPVOID)((DWORD)funaddr - 5), 7, lpflOldProtect, &lpflOldProtect);
}

可以看到确实跳转到自己的函数

下跳:

BYTE NewCodes[2] = { 0xEB,0x05 };
BYTE JmpCode[5] = { 0xE9,0 };
BYTE oldCodes[2] = { 0 };

BOOL Mydebug()
{
    return FALSE;
}

void Hook()
{
	PVOID funaddr = GetProcAddress(GetModuleHandleA("Kernel32.dll"), "IsDebuggerPresent");
	memcpy(oldCodes, funaddr, 2);//unhook可以用
	DWORD lpflOldProtect;
	VirtualProtect(funaddr, 5, PAGE_EXECUTE_READWRITE, &lpflOldProtect);
	memcpy(funaddr, NewCodes, 2);
	VirtualProtect(funaddr, 5, lpflOldProtect, &lpflOldProtect);
	DWORD dwFuncAddr = ((DWORD)Mydebug - ((DWORD)funaddr + 0xc));
	*(DWORD*)(JmpCode + 1) = dwFuncAddr;
	VirtualProtect((LPVOID)((DWORD)funaddr + 7), 5, PAGE_EXECUTE_READWRITE, &lpflOldProtect);
	memcpy((PVOID)((DWORD)funaddr + 7), JmpCode, 5);
	VirtualProtect((LPVOID)((DWORD)funaddr + 7), 5, lpflOldProtect, &lpflOldProtect);
}

可以看到下跳也可以跳到自己的函数 

+0xc怎么来的:

因为BYTE NewCodes[2] = { 0xEB,0x05 },往下跳7个字节,再加上你新的跳转地址5个字节,即12个字节(0—B)

偏移量的计算是:
目标地址 - 跳转指令的下一条指令地址

如果是上跳,我们跳转指令的下一条指令地址就是目标函数的首地址,所以DWORD dwFuncAddr = ((DWORD)Mydebug - (DWORD)funaddr);

如果是下跳,我们跳转指令的下一条指令地址==(DWORD)funaddr + 0xc。

向你扔鸡爪
关注
专栏目录
第一课 记事本的WriteFile API HOOK
xuenixiang.com
11-01 3478
前面一直在写dll hook技术的学习心得,但是现在又来写API hook的体会,很多人都不理解,为什么要学习API hook,dll hook已经那么强大,为什么还要把API hook单独拿出来学习?在我学习完这些内容之后,我深刻的认识到二者的差别,请听我说。 使用dll注入技术可以驱使目标进程强制加载用户指定的dll文件,使用该技术时,先在要注入的dll中创建hook代码和设置代码,然后在D...
LyScript 实现Hook隐藏调试
热门推荐
CSDN
09-17 1万+
LyScript 插件集成的内置API函数可灵活的实现绕过各类调试保护机制,前段时间发布的那一篇文章并没有详细讲解各类调试机制的绕过措施,本次将补充这方面的知识点,运用LyScript实现绕过大多数通用调试机制,实现隐藏调试器的目的。该函数用于检测自身是否处于调试状态,其C系列代码如下所示,绕过此种方式很简单,只需要在函数头部写出ret指令即可。注意:此Api检查PEB中的值,因此如果修补PEB,则无需修补Api,这段绕过代码如下。如下案例,实现了在枚举窗体过程中实现弹窗,并不影响窗体的枚举。
php调试,调试原理
weixin_29051149的博客
03-11 262
一、 前言前段学习调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm写的,对cracker而言,只要下就知道了。我想代码其实意义不是很大,重要的是理解和运用。做个简单的总结,说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。部分代码和参考资料来源:1、&lt...
Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术
weixin_30594001的博客
02-02 628
catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL中指定函数/或直接指定EXE作为启动...
HOOK API 函数转详解
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-17 908
什么是HOOK API:        Windows下暴露的对开发人员的接口叫做应用程序编程接口,就是我们常说的API。我们在写应用层应用程序软件的时候都是通过调用各种API来实现的。有些时候,我们需要监控其他程序调用的API,也就是,当其他应用程序调用我们感兴趣的API的时候,我们在他调用前有一个机会做自己的处理,这就是HOOK API的涵义。    思路:        我们知道Wi
Linux HOOK API
q123456789098的专栏
08-14 2148
这一节主要是讲述的是符号节.要怎么才能找到符号节呢,其实只要在上一期讲的遍历节头的时候,判断每一个节类型是不是SHT_SYMTAB或SHT_DYNSYM,那么相应的节就是一个符号节了,符号节存放的是一张符号表,符号表也是一个连续存储的结构数组. 那什么叫符号呢?编程过程中用到的变量和函数都可以称之为符号,一个ELF文件中并不只有一个符号节,通常是两个,一个叫动态节,打印名称为".dynsym",
VEH+硬件断点实现无痕HOOK
鬼手的博客
09-24 9483
文章目录hook的分类硬件断点hook原理设置硬件断点注册VEH代码实现VEH无痕Hook说说一路踩过的坑实际效果小结关于veh hook的对抗参考文章参考文章 hook的分类 hook方式有多种,这里做了一个系统性的总结对比,如下: 实际上第二种和第三种属于同一类型的hook,都是利用异常处理函数来处理,只是触发异常的方式不同 硬件断点hook原理 想要实现硬件断点hook,需要实现下面几个步骤 设置硬件断点 注册veh异常处理函数 编写异常处理函数,实现自己的hook代码 设置硬件断点 首先来说一
IAT-Hook 劫持进程Api调用
笔记本
05-28 2644
✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook的实现代码,后续再更新复制原始API部分代码的补丁Hook和SSDT-Hook T_T 本来昨...
调试
qq_41490873的博客
09-25 1088
软件断点 TLS回调函数先于程序入口执行,调试器加载主程序的时候会在OEP处设置软件断点, 通过TLS回调得到程序的OEP然后判断入口是否为int3断点 IsDebugPresent函数 IsDebugPresent判断进程环境块的一个flag是否为真,如果是真就代表正在被调试 HWBP_Exception(硬件断点) ...
易语言-winmm劫持补丁apihook解码常规和特征补丁
06-25
在本文中,我们将深入探讨“winmm劫持补丁API Hook解码常规和特征补丁”这一主题,这涉及到系统级编程、逆向工程以及安全相关的知识。 API Hook是一种技术,它允许开发者拦截并修改特定API(应用程序编程接口)的...
HookAPI.rar_delphi 保护_hookapi_hookapi delphi_进程 保护_进程保护
09-14
通常还包括其他措施,如内存保护、代码混淆、调试技术等。例如,可以使用内存保护机制防止恶意代码修改进程的内存区域,或者通过混淆技术使得攻击者难以理解程序的内部逻辑。 在实际应用中,`HookAPI`通常与其他...
第十章 Hook 与注入(一)(Hook 的类型)
zlmm741的博客
04-17 1618
文章目录Hook 与注入Hook 的类型Dalvik HookART HookLD_PRELOAD HOOKGOT HookInline Hook Hook 与注入 软件加密技术不断更新迭代,攻防双方水平不断提升,单纯的静态级别的安全对抗已很少出现,分析人员面对得更多的是高强度的代码加密技术和程序防篡改技术,在此背景下,新的软件分析技术 —— Hook 与注入应运而生 编译 APK、修改或添加...
C语言进阶之泛型列表(Generic List)
2402_83795905的博客
09-26 482
c语言进阶之泛型列表,领略指针的魅力!!!
【Java】Java 8 Stream API
鹏啊鹏
09-30 612
Stream 是对数据源(如集合、数组等)元素的序列化抽象,支持许多操作,如过滤、排序、映射等。sorted 方法对流中的元素进行自然排序,或者你可以传递一个自定义的比较器(Comparator)。(中间操作):一系列可以连接起来的操作,比如 filter、map、flatMap 等,这些操作不会执行任何处理,而是生成一个新的流。(终端操作):会触发之前所有的中间操作,并且产生结果,如 collect、forEach、reduce 等。(流):是一个来自某种数据源的元素队列,它支持连续的管道式操作。
Linux基础入门 --13 DAY(SHELL脚本编程基础)
最新发布
alwtj的博客
09-30 398
1.shell支持算数运算,但只支持整数,不支持浮点数2.bash中的算数运算符% 取模** 乘方。
【hot100-java】【二叉树的层序遍历】
m0_73629042的博客
09-30 299
【代码】【hot100-java】【二叉树的层序遍历】
设计模式之迭代器模式
一个老Java开发的自白
09-27 667
迭代器模式是一种行为型设计模式,旨在提供一种方法顺序访问聚合对象中的元素,同时保持对聚合对象内部结构的封装。它包含迭代器、具体迭代器、聚合和具体聚合四个角色。迭代器模式的应用场景广泛,如访问聚合对象内容而不暴露其内部表示、支持多种遍历方式以及为不同聚合结构提供统一接口。此外,迭代器模式在软件设计中具有封装性、灵活性和可扩展性的重要性,并广泛应用于电商平台商品列表遍历、文件系统遍历和数据库查询结果遍历等实际案例中。
如何使用 Gradio 创建聊天机器人
风吹落叶的博客
09-30 838
聊天机器人是大型语言模型的流行应用。使用gradio,您可以轻松构建聊天机器人模型的演示并与用户分享,或者使用直观的聊天机器人 UI 亲自尝试。本教程使用gr.ChatInterface(),这是一种高级抽象,可让您快速创建聊天机器人 UI,通常只需一行代码。我们创建的聊天机器人界面将如下所示:我们将从几个简单的例子开始,然后展示如何使用gr.ChatInterface()来自几个流行 API 和库的真实语言模型,包括langchain、openai和 Hugging Face。先决条件。
[Vue warn]: Error in created hook (Promise/async)
05-21
这个错误通常表示在Vue组件的created生命周期函数中使用了异步操作(比如Promise或async/await),但是没有正确处理其结果或者捕获错误。 解决这个问题的方法有几种: 1. 将异步操作移到mounted生命周期函数中。这样可以确保数据已经准备好,组件已经渲染完毕。 2. 对异步操作进行try/catch处理,以便在出现错误时捕获并处理异常。 3. 使用Vue的异步组件加载功能。这可以确保组件在异步操作完成后再进行渲染。 4. 如果使用了第三方库或插件,确保它们与Vue兼容,并遵循Vue的生命周期函数规则。 需要根据具体情况进行分析和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值