hook iat 简单示例

最新推荐文章于 2021-03-11 21:37:36 发布
最新推荐文章于 2021-03-11 21:37:36 发布
阅读量866 收藏
点赞数
文章标签: hook descriptor import image winapi header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whf727/article/details/6592216
版权 
原理很简单,对于已经加载的pe,可以在firstthunk中保存了导入函数的地址。因此,这里找到相对应导入函数保存的地址,然后进行修改就ok了。


void ShowAddr(PCHAR pStr,PVOID pAddr)
{
	cout<<pStr<<hex<<pAddr<<endl;
}


typedef HMODULE (WINAPI* pfGetModuleHandle)( __in_opt LPCSTR lpModuleName );
pfGetModuleHandle pOldApi = NULL;

 HMODULE WINAPI MyGetModuleHandle( __in_opt LPCSTR lpModuleName )
{
	cout<<"yes intercept api!!!"<<endl;
	if (pOldApi)
	{
		return pOldApi(lpModuleName);
	}
	return 0;
}


int _tmain(int argc, _TCHAR* argv[])
{


	HANDLE hProcess = GetModuleHandle(NULL);
	PBYTE  pImageBaseAddr = (PBYTE)hProcess;
	//HANDLE hProcess2 = GetCurrentProcess();


	cout<<"current module image base address:0x"<<hex<<hProcess<<endl;


	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageBaseAddr;

	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)(pImageBaseAddr + pDosHeader->e_lfanew);

	PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
	PIMAGE_FILE_HEADER     pFileHeader = NULL;


	pOptionalHeader = &(pNtHeader->OptionalHeader);
	pFileHeader = &(pNtHeader->FileHeader);


	ShowAddr("OEP:0x",(pOptionalHeader->AddressOfEntryPoint + pImageBaseAddr));


	cout<<"import dir rva:0x"<<pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
	cout<<"   size:0x"<<pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size<<endl;



	PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)(pImageBaseAddr + pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

	for (int i = 0;; i++)
	{
		if (pImportDesc->Name==NULL&&pImportDesc->TimeDateStamp==NULL)
		{
			break;
		}

		PIMAGE_THUNK_DATA pThunkData = NULL,pThunkData2 = NULL;
		PIMAGE_IMPORT_BY_NAME pFuncName = NULL;

		cout<<endl<<pImportDesc->Name+pImageBaseAddr<<endl;
		
		if(pImportDesc->OriginalFirstThunk)
		{
			pThunkData = (PIMAGE_THUNK_DATA)(pImportDesc->OriginalFirstThunk + pImageBaseAddr);	
			pThunkData2 = (PIMAGE_THUNK_DATA)(pImportDesc->FirstThunk + pImageBaseAddr);	
			
			while(pThunkData->u1.Function)
			{
				if((pThunkData->u1.Function&IMAGE_ORDINAL_FLAG32) == IMAGE_ORDINAL_FLAG32)
				{
					//here just conside x86 pe
					DWORD dwId = pThunkData->u1.Function  & ~IMAGE_ORDINAL_FLAG32;
					cout<<" ID:0x"<<dwId<<"  addr:0x"<<pThunkData2->u1.AddressOfData<<endl;
				}
				else
				{
					pFuncName = (PIMAGE_IMPORT_BY_NAME)(pThunkData->u1.Function+pImageBaseAddr);
					cout<<" 0x"<<pFuncName->Hint<<"  "<<pFuncName->Name<<"  addr:0x"<<pThunkData2->u1.AddressOfData<<endl;

					if (stricmp((PCHAR)pFuncName->Name,"GetModuleHandleW")==0)
					{
						//here can intercept api
						pThunkData2->u1.AddressOfData = (DWORD)MyGetModuleHandle;
						cout<<"MyGetModuleHandle Addr:0x"<<pThunkData2->u1.AddressOfData<<endl;
					}
				}
				pThunkData++;
			}
		}
		else
		{
			pImportDesc->FirstThunk;
		}

		


		pImportDesc++;
	}

	//test intercept 
	hProcess = GetModuleHandle(NULL);



	getchar();





	return 0;
}

less@more
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IAT HOOK
enjoy5512的博客
06-02 1万+
IAT Hook的实现
IAT Hook
stmlg的博客
05-15 379
Chook Hook 三步走 WFH 1. WHRER 你要hook的函数(地址) 2. FIND 找到你的函数地址 3. HOOK 这个函数 作用 修改数据(修改参数,修改返回值) 改变被hook函数行为 考虑这种情况 只能返回 加密后的变量x, 如果我们想要 函数里边的x 修改或者监控 ,怎么办呢? 找到dll , 修改这个dll的功能。 导入表结构IAT表 程序加载前 程序加载后(IAT表会断裂 成真正的函数地址) 不要管 ring0 和 ring 3 ,IAT hook 都这
IATimport address table) hook C++实例
09-13
C++ 通过导入表(IAT)实现inline hook,已经过测试
IAT Hook示例
精彩的艺术
03-01 444
#include "stdafx.h" //在这个文件中实现IATHook //这个函数,只Hook exe文件的IAT typedef int (WINAPI *MESSAGEBOXW)( _In_opt_ HWND hWnd, _In_opt_ LPCWSTR lpText, _In_opt_ LPCWSTR lpCaption, _In_ UINT uType); MESSAG
C++ IAT HOOK(MessageBoxW 为例)
LYSM
08-15 1019
最近在研究各种姿势的 HOOK,虽然 HOOK 这个东西已经是很久之前就有的技术了,但好在目前应用仍然很广泛,所以老老实实肯大佬们 10 年前啃过的骨头 … 下面是庄重的代码献祭时刻 —— 首先 IAT HOOK 需要使用 DLL , 这里有两个项目工程,一个是 MFC窗体应用(用来测试),一个是我们的 DLL (主要功能)。 DLL 代码: 注释很全,尔等不可能看不懂 // dllmain.c...
内隐自尊IAT实验程序(Eprime2.0)
09-04
只能用Eprime2.0打开,是一个完整的IAT实验程序,只要安装了Eprime2.0,下载之后就能运行。
Ring3 IAT Hook例子
yxuenong的专栏
12-14 436
Ring3 IAT Hook例子   #include #include #include #define UNICODE #define _UNICODE PIMAGE_DOS_HEADER pDosHeader; PIMAGE_NT_HEADERS pNTHeaders; PIMAGE_OPTIONAL_HEADER pOptHeader; P
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat例子
09-14
"iat hook"是挂钩IAT的过程,"iat"指的是导入地址表,"hook_iat"可能是一个具体的函数或方法名,而"vb中_iat例子"则说明示例是在VB环境下编写的。 压缩包中的文件如下: 1. **passwd.c**:可能是一个C语言源代码...
Hook IAT hookdll资源表
11-21
这个可能是对IAT Hook功能的一个简单评估,表明实现的Hook IAT技术在测试中是可行的。 总结,Hook IAT技术是Windows编程中的一个重要部分,尤其在逆向工程和安全领域中广泛应用。通过理解并熟练掌握这项技术,...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
最新发布
09-24
在"压缩包子文件的文件名称列表"中提到的"HOOK IAT"可能是指包含有关如何进行IAT Hook的具体示例代码或者教程。为了深入理解这个主题,你可以查看这些文件,了解实际操作过程,包括如何定位IAT、修改IAT条目以及如何...
VC实现IAT hook例子
10-05
IAT hook是通过修改IAT来实现hook API的方法。本示例展示了完整的IAT hook例子
IAT 内核注入
09-16
注册模块加载回调,在进程加载模块时,修改iat表,加入需要注入的Dll,支持x86 (Winxp Win7),缺点,对于托管代码的进程,例如.net形式程序,不起作用,但一般win32程序没有任何问题
Native API 和一般 API 的 IAT Hook
09-03
`RemoteThread`可能是一个示例,展示了如何在远程进程中创建一个新的线程来执行hook代码,这是hooking中常见的技术,特别是在跨进程操作时。`IATReplace`可能是一个函数或者脚本,用于替换IAT表中的函数指针,实现...
Hook进程IAT
u011569253的博客
05-10 643
这两天研究下IAT表的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单hook IAT表。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IAT在PE文件中的位置,当你有了这些知识之后就可以对IAThook了。这里我就不对IAT表做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
IAT HOOK
weixin_44711063的博客
03-11 624
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
C++实现IATHOOK类封装及静态成员应用
"C++封装IATHOOK类实例用于实现对IATImport Address Table)的HOOK,通过静态成员函数和遍历模块的框架,达到在运行时修改其他模块API调用的目的。" 在Windows操作系统中,IAT是PE(Portable Executable)文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值