浅谈 “我对 HOOKPE 的理解”

最新推荐文章于 2023-04-23 14:38:38 发布
最新推荐文章于 2023-04-23 14:38:38 发布
阅读量707 收藏
点赞数
分类专栏: 驱动内核 文章标签: hook 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/5327755
版权

对于 HOOK 技术,我想大家都比较了解了,今天,搞了一个晚上的 HOOK PE,

希望能够达到勾住 到处函数的目的,技术不是什么新技术,仅仅为了了解它的工作过程而已。。。

网上代码有现成的,不过,写得有些不对的地方。。。

 

1:在获取模块基址的时候,函数使用错了。。。 应该是这样,不然,你的程序就悲剧了,调试了老半天才发现,  pName = strrchr( pSysModule->ImageName, '//' );

这是获取执行文件 /... 这种形式,方便后边取执行文件的名字。。。

 

说一下函数的执行过程吧:

1:首先得到 ntkrnlpa.exe(多核, ntoskrnl.exe,单核) 模块的基址(注意单核或者多核的情况,他们不同),

2:取得基址后,解析这个 PE 文件, 在 .edata 段,查找 你所需要的函数的地址,找到后,保存好原来函数的地址,

通过 基址 + 偏移的方式,可以很快的确定我们要找的函数,通过修改 偏移量,替换成我们的函数地址,达到了HOOK 的效果,

然后,在我们的 函数中,可以做一些其他的处理,最后,通过原来保留的函数指针,调用原来的函数。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式与API HOOK
wltg2001的专栏
04-23 5449
对于windows低层编程来说,进行API拦截始终是一件让人激动的事,用自己的代码来改变其它程序的行为,还有比这个更有趣吗?而且,在实现API拦截的过程中我们还有机会去熟悉许多在RAD编程环境中很少接触的东西,如DLL远程注入、内存管理,PE文件格式等知识。许多商业软件,如金山词霸等词典软件,各种即时汉化软件、甚至一些网络游戏的外挂中都用到了这种技术,各种调试工具中多多少少也要用到这种技术。实
PE系列学习笔记八 实战之HOOK程序添加弹窗
xiaotuge_always的博客
04-24 706
前面学习了PE的结构后,尝试结合先前所学,修改PE文件来实现给程序添加弹窗的功能 PS:这篇笔记并没有怎么涉及PE的知识点,重点放在了HOOK、反汇编和硬编码上,对PE不是很了解也可以看看,涉及PE知识点的内容放在了后面的笔记:PE学习笔记九 实战之HOOK程序添加弹窗续,可以放心食用( ̄︶ ̄)↗ PE实战之给程序添加弹窗 修改流程 要给程序添加弹窗,首先就是要了解其修改的流程 首先要修改的便是程序原本的入口地址,将其修改为弹窗代码所在的地址 弹窗代码所在的地址,要在PE文件中找到一片区域,该区域需要 满足
浅淡 “对 HOOK PE 的学习体会”
xum2008的专栏
03-05 649
浅淡 “对 HOOK PE 的学习体会” 我们都知道,对于PE 文件的结构中,有一个叫做导出表的东西,这个表中存放着这个程序运行所需要的函数。这些函数都存放在一个结构中。如果,我们能够替换这个结构中的某些地址,那么,我们就能够在程序执行之前,拿到控制权。下边看一下这个结构的示意图:从这个图中,我们可以清楚的看到,导出表函数名和函数地址组成,它们可以通过导出表获得:pModu
【学习笔记2】hookPE文件
u010203393的专栏
04-22 563
三、hook 钩子 参考 http://baike.baidu.com/view/626139.htm (1)本质:一个处理消息的程序段。通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。 (2)消息触发:当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程。 每一个Hook(钩子)都有一个与之相关
使用PE文件格式 HOOK 其他进程API
oldmtn的专栏
06-30 1337
今天研究了一下HOOK 其他进程API的方法 有2个前提 1. 使用远程线程注入, 具体可以参考《Windows核心编程》中22-InjLib里面的代码 2. 更改被注入线程所要调用的API地址 2.1 方法一:实用一个网上一个大牛写的类CHookInfo HookInfo.h typedef struct _HOOKSTRUCT { FARPROC pfFunAddr; /
PE】inline hook的实现
最新发布
woodwhale的博客
04-23 669
学习一下inline hook
浅谈我对DDD领域驱动设计的理解
01-27
比如,我是一家企业,然后我觉得我现在线下销售自己的产品还不够,我希望能够在线上也能销售自己的产品。所以,自然而然就想到要做一个普通电商系统,用于实现在线销售自己企业产品的目的。再比如,我是一家互联网...
浅谈Cordova框架的一些理解
02-25
不管我的手机是哪种操作系统,安装完一个APP之后,后续如果有新的版本发布的时候,我还必须去更新,才能享用新版本里的功能,比如我装了“京东”这个APP,前几天正好碰到“618”活动,那么之前一个月APPStore就提醒...
浅谈对电子商务的认识.doc
11-30
浅谈对电子商务的认识.doc
PE基础7-HOOK练习
weixin_30505485的博客
07-01 129
HOOK练习 头文件内容 #include <windows.h> ​ // Inline Hook: 原理是修改程序执行流程上的代码,使代码可以从目标地址跳转到 // 指定的位置,从而获取函数的调用情况。微软专门给所有的库函数 // 提供了 6 字节的垃圾指令进行 Hook。 ​ // Inline Hook 要...
32机器pe hook以及进程调试工具源代码
09-03
32机器pe hook已经进程调试工具源代码 进程枚举 进程插入dll 进程attach 进程字符串枚举 进程模块枚举 进程句柄枚举
Windows Hook原理与实现
热门推荐
安全杂货铺
08-06 4万+
Windows Hook原理与实现 教程参考自《逆向工程核心原理》 1.概述 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理...
PE文件入手绕过IAT HOOK(ZT)
wxl1986622的专栏
02-29 1951
PE文件入手绕过IAT HOOK 2007-04-28 16:08 IAT HOOK简介 API HOOK估计没必要多介绍了,简单的来讲就是通过某种方式来改变API函数的工作流程.一般来讲有两种方法:IAT HOOK和INLINE HOOK.前一种应用较为广泛,一方面因为简单,还一方面因为稳定.他的原理就是改写进程空间中要HOOK的API所在模块的函数引入表,使之指向替换原 API函
解析 bootstat.dat 文件,探究为什么XP知道上次系统启动失败。。。
xum2008的专栏
11-14 1万+
<br />这个周末终于有时间来搞我的还原驱动了,但是在做的过程中发现了一点问题;<br />加载驱动后,重启机器会使得XP认为系统启动失败,提示我们回到上一次的正确位置。。。<br /> <br />这是由于 bootstat.dat 这个文件造成的,用winhex 打开造成的
驱动工程师的面试问题。
xum2008的专栏
01-12 4336
1.NT和WDM驱动的区别 1.NT式的驱动要导入的头文件是NTDDK.H,WDM式的驱动要导入的是WDM.H。 2.NT式不支持即插即用,通过服务来手动加载;WDM是即插即用, 通过inf来加载。 3.WDM在设备创建和PNP消息处理上有区别。 2.windows驱动的通信的三种IO方式      在和驱动通信过程中,我们一般都会碰到应该选择何种类型的缓冲类型进行通信。本文
MiniFilter 的应用层通信程序的编写问题
xum2008的专栏
05-30 4318
     今天,开始了对 minifilter 的编写,目的是掌握微型过滤程序的编写习惯以及熟悉其中的结构,与sfilter 比起来,它封装了更多的东西,让初学者有点不知所错,但是经过了对sfilter的学习后,你会感觉到那时对函数的进一步封装,用起来是那么的方便,只不过比较上层而已。。。     好了,进入今天的主题,为了让驱动和应用层通信,MS 在mini 哲中类型的驱动中提供
浅谈对蛋白质化学的理解
04-23
对于蛋白质化学的理解包括:氨基酸的结构和性质,肽键的形成和性质,蛋白质的一级、二级、三级和四级结构,蛋白质的性质和功能,以及蛋白质与其他生物分子之间的相互作用等方面。蛋白质化学对于生命科学的研究具有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值