关于Detours/Minhook挂钩引擎的UnHook

最新推荐文章于 2024-06-02 11:20:34 发布
最新推荐文章于 2024-06-02 11:20:34 发布
阅读量5.7k 收藏 1
点赞数 1
分类专栏: Windows 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_0429/article/details/48573059
版权
本文探讨了Detours和MinHook钩子引擎在UnHook过程中可能遇到的问题,包括Hook链的形成和不正确UnHook顺序导致的潜在风险。分析了多个模块对同一目标函数多次Hook时的UnHook顺序影响,强调任意UnHook可能导致的不稳定性和程序错误。
摘要由CSDN通过智能技术生成

关于Detours/Minhook挂钩引擎的UnHook

        文章本身可能用处不大,很少有人会用到所说的这些,权当积累。

        一直在使用Detours 和 MinHook 两个Hook引擎进行一些系统API的挂钩,实现特殊的功能。就如标题所用词,UnHook,很少将一个已经Hook的函数再次进行UnHook,所以一直没有注意到问题所在。同事的提醒,让自己有了一点兴趣看一下这个UnHook 到底有什么问题呢?

        首先简单说一下Detours / MinHook的基本原理,就是在要挂钩的函数地址处,置一个跳转指令,直接跳转到Detours函数上。然后再由Detours函数通过Trampoline函数(保存的是被Hook函数地址处被置换为JMP指令的原始指令加上一个JMP指令(用于跳转到原始函数))调用原始函数。在依次返回。这样就实现了Detours函数的调用。可以在Detours函数中实现一些特殊的逻辑,满足特殊需求。下面的图是从其他地方借鉴过来的,可以参考一下,非常清晰地说明了整个过程。        

        

        那UnHook是什么样一个过程呢?根据上图就很简单了,其实就是将复制到Trampoline中的原函数指令,重新复制回Target函数中。也即覆盖掉Target函数被Hook之后目标地址上的那个JMP 指令。

        当在一个进程中,只有一个模块在一个目标函数上(比如

最低0.47元/天 解锁文章
xiao_0429
关注
专栏目录
使用Detours实现hook的实例分享
dvlinker的技术专栏
08-10 1923
分享使用Detours开源库实现hook的实例。
微软开源项目 Detours 详细介绍与使用实例分享
热门推荐
dvlinker的技术专栏
08-15 1万+
本文详细介绍微软开源库Detours,并分享使用Detours实现函数hook的实例。
mHook MinHook API Library Detour EasyHook
lionzl的专栏
07-22 2147
mHook MinHook API Library Detour EasyHook   (2015-01-23 08:36:10)   分类: 软件_Software http://codefromthe70s.org/mhook23.aspx MinHook - 最小化的 x86/x64 API 钩子库 英文原文:MinHoo
MinHook 介绍
顺其自然~专栏
06-02 243
MinHook是一个基于微软Detours的一个可移植Hook库,它使用了内存污染和跳转技术来实现Hook。通过使用MinHook,你可以在不需要修改原来函数代码的情况下,运行时更改函数定义。这对于调试、测试、以及在其他程序中注入自己的代码都非常有用。使用MinHook挂钩函数,即使这些函数是由编译器优化过的,MinHook也可以在不修改原来代码的情况下Hook。这使得MinHook特别适合用于但是它也有一些限制当然,MinHook毕竟是,你只需要稍微处理一下,便可以保证兼容与稳定性。
minhook探究
pureman_mega的博客
06-05 737
在接口的设计,hook的兼容性等方面,还是值得我们初学者解决的。熟悉inline hook的,在阅读了minhook的代码之后就会发现,它也是用的这种hook方法。紧接着是一个jmp指令,但是跳转的地址看起来有点不对,实际上是反汇编引擎解析有误,从源码中可以知道这里实际上是跳转到一个绝对地址(0xff,0x25,0x000000,0x7fff05fa4175),也就是CreateFileA第二条指令开始的地方(0x7fff05fa4175)。总的来说还是好用的。
运用 Windows 的 Hook 淦极域 && MinHook 入门教程
ZhangMuZhi_Anhao的博客
11-22 596
因为 NTD 的某 UDP 重放攻击被机房的同学们大肆滥用(诸如乱关机),加上我们的 Tad 的一些坑人行为,于是就阅读并参考 JiyuTrainer 的源码,然后在 NoTopDomain 加上了拦截远程命令、杀进程和置顶功能。C/C++ 的语言基础能够简单使用 Windows API如果您缺少一部分,建议先学习之后再过来。对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。
[Windows Hook]MinHook库的使用方式
CodeBowl的博客
10-16 6191
MinHook就是通过Inline Hook实现的,通过生成库文件,在我们的项目中包含头文件以及对应库文件就可以实现Hook。 学习一个库,先学习怎么用,然后再阅读源码学习原理。
UnHook示例源码
09-19
本主题聚焦于"UnHook",即解除挂钩的过程,以及与之相关的DetoursMinHook库。这两个库是Windows平台上广泛使用的钩子引擎,用于动态地修改函数调用的行为。 Detours是由微软研究实验室开发的一个强大的库,它提供...
detours_Detours1.5_
09-29
Detours 是微软开发的一个开源库,用于拦截和修改Windows API调用,以便在不修改目标代码的情况下跟踪和控制软件行为。Detours 1.5 版本是该库的一个特定迭代,专注于调试编译,这对于理解和调试应用程序的内部工作...
detours4.0_opencvMFC_Detours4_detours_
10-04
Detours 是微软开发的一个开源库,它允许程序员拦截和修改其他进程中的函数调用,而无需重新编译或修改原始代码。Detours 提供了一种强大的技术,名为“钩子”(hooking),用于调试、性能监控、系统扩展等多个领域...
MinHook - 在简约的x86/x64 API挂接库
06-20
这个软件的基本概念是一样的微软的Detours和丹尼尔Pistelli的钩引擎。它取代了使用x86的JMP(无条件跳转)指令到迂回功能目标函数的序幕。它的安全,稳定和行之有效的方法。
4.5 MinHook 挂钩技术
09-18 320
MinHook是一个轻量级的Hooking库,可以在运行时劫持函数调用。它支持钩子API函数和普通函数,并且可以运行在32位和64位Windows操作系统上。其特点包括易于使用、高性能和低内存占用。MinHook使用纯汇编语言实现,在安装和卸载钩子时只需要短暂地锁定目标线程,因此对目标线程的影响非常小。读者可自行下载对应的库文件,本节所使用的是版本,并配置好对应的包含文件以及库目录,如下图所示;
使用minhook
kangkangailin的博客
08-09 817
minhook的使用
如何使用Unhook技术绕过安全软件的防护?
weixin_34021089的博客
09-20 603
本文讲的是如何使用Unhook技术绕过安全软件的防护?, Code hook是用于将计算机的执行流重定向以修改软件的技术。通常来说,软件开发者是能通过hook,查看与系统进程进行交互的过程。Code hook可以执行各种各样善意和恶意的功能,包括: 修复bug 功能监控 禁用数字权限管理系统 捕获键盘事件 隐藏进程和文件(例如rootkit,它的功能是...
MiniHook研究
yinhaijing123的专栏
04-12 1702
git hub 地址: https://github.com/RaMMicHaeL/minhook
开源项目推荐:Hook逆向技术之API拦截,Detours
$firecat利白的代码足迹$
09-30 1901
1、开源项目 Detours Detours 是一个软件包,用于在 Windows 上监视和检测 API 调用。 https://www.microsoft.com/en-us/research/project/detours/ https://github.com/microsoft/detours 2、商业项目 WinAPIOverride http://jacquelin.potier.free.fr/winapioverride32/ API Monitor http:/.
变不可能为可能 - .NET Windows Form 改变窗体类名(Class Name)有多难?续篇
weixin_30920091的博客
05-12 282
  发布《.NET Windows Form 改变窗体类名(Class Name)有多难?》转眼大半年过去了,要不是在前几天有园友对这篇文章进行评论,基本上已经很少关注它了,毕竟那只是一个解惑的研究,在开发中没什么实际的用处。但是由于Squares园友的评论,结合最近自己相关的工作,灵感一现,却真的找到了解决之法,不得不感慨一下,“问题总是会有解决办法的,只是自己能力不够或一时没想到而已”。好了...
MemoryEvasion
Mccc_li的博客
10-27 1435
CobaltStrike自3.1.2就引入了SleepMask套件,SleepMask套件可以在http/https或dns Beacon进入sleep的时候混淆Beacon和堆。但是泄露的CS SleepMask已经被分析烂了,于是就自己写了个在睡眠状态混淆代码的Loader。
uefi detours
最新发布
08-31
UEFI Detours是一种用于UEFI(统一可扩展固件接口)环境下的功能,它允许你在不影响原始代码逻辑的情况下,在运行时修改或绕过UEFI驱动程序的行为。Detours通常用于调试、测试和分析目的,比如动态替换函数以观察内部工作流程,或者模拟不同的API调用以研究系统的响应。 在UEFI环境中,Detours需要特定的处理,因为UEFI不同于传统的Win32 API,它的内存管理模型和运行时环境不同。使用Detours在UEFI中工作通常涉及到对内核模式代码的访问,这要求开发者熟悉相关的硬件抽象层(Hypervisor Abstraction Layer, HAL)以及如何在UEFI环境下注册和管理回调。 如果你打算使用UEFI Detours,可能需要了解以下关键点: - 如何在UEFI中正确初始化Detours引擎并设置回调函数。 - 接受和处理UEFI的回调通知,因为Detours在UEFI里不是线程安全的。 - 确保操作不会影响到系统的核心功能,并且遵循UEFI的安全规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值