hook模板x86/x64通用版(2)--中转函数的shellcode编写

最新推荐文章于 2024-06-07 15:58:44 发布
最新推荐文章于 2024-06-07 15:58:44 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: hook教程 文章标签: x64 hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yes2/article/details/50596908
版权

这个模板的思路是这样的:

1.破坏原地址的指令(至少5字节,此处如果含有跳转会报失败),写一个跳转,被破坏的指令迁移到别的地方;

2.跳转到中转函数,中转函数中会调用用户定义的功能函数;

3.执行原地址被破坏的指令,跳转到原地址的下一指令处。

如果是在API(或普通call)头部进行hook的话,还支持执行API前调用用户定义的“执行前处理函数”,并在执行完API后调用用户定义的“执行后处理函数”。


使用了bea引擎来识别指令长度;

使用了Tls进行线程同步;

对API或者call进行hook的时候不需要知道函数原型;

对API或者call进行hook的时候支持修改函数参数和函数返回值;


肯定还是有很多不足的地方,欢迎朋友们指出和指导!

普通地址hook的中转函数x64代码:

push rax
push rcx
push rdx
mov ecx,<TlsValue_for_register> 
mov rdx,rsp
sub rdx,68
sub rsp,20
call @lable1 //e8 00 00 00 00
@lable1:
add dword ptr ss:[rsp],12
push <low_32bit_TlsSetValue>
mov dword ptr ss:[rsp+4],<high_32bit_TlsSetValue>
ret
add rsp,20
push rbx
push rbp
push rsp
push rsi
push rdi
push r8
push r9
push r10
push r11
push r12
push r13
push r14
push r15
call @lable2 //e8 00 00 00 00
@lable2:
add dword ptr ss:[rsp],12
push <low_32bit_user_define_function>
mov dword ptr ss:[rsp+4],<high_32bit_user_define_function>
ret
pop r15
pop r14
pop r13
pop r12
pop r11
pop r10
pop r9
pop r8
pop rdi
pop rsi
pop rsp
pop rbp
pop rbx
pop rdx
pop rcx
pop rax
nop  //复制原地址被破坏的指令到这里
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
pushfq
push rax
push rcx
push rdx
sub rsp,20
mov ecx,<TlsValue_for_register>
xor rdx,rdx
call @lable3 //e8 00 00 00 00
@lable3:
add dword ptr ss:[rsp],12
push <low_32bit_TlsSetValue>
mov dword ptr ss:[rsp+4],<high_32bit_TlsSetValue>
ret
add rsp,20
pop rdx
pop rcx
pop rax
popfq
push <low_32bit_jmpbackAdr>
mov dword ptr ss:[rsp+4],<high_32bit_jmpbackAdr>
ret

API的hook中转函数x64代码: 

push rax
push rcx
push rdx
mov ecx,<TlsValue_for_register> 
mov rdx,rsp
sub rdx,68
sub rsp,20
call @lable1 //e8 00 00 00 00
@lable1:
add dword ptr ss:[rsp],12
push <low_32bit_TlsSetValue>
mov dword ptr ss:[rsp+4],<high_32bit_TlsSetValue>
ret
add rsp,20
push rbx
push rbp
push rsp
push rsi
push rdi
push r8
push r9
push r10
push r11
push r12
push r13
push r14
push r15
call @lable2 //e8 00 00 00 00
@lable2:
add dword ptr ss:[rsp],12
push <low_32bit_user_define_function>
mov dword ptr ss:[rsp+4],<high_32bit_user_define_function>
ret
pop r15
pop r14
pop r13
pop r12
pop r11
pop r10
pop r9
pop r8
pop rdi
pop rsi
pop rsp
pop rbp
pop rbx
pop rdx
pop rcx
pop rax
nop  //复制原地址被破坏的指令到这里
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
pushfq
push rax
push rcx
push rdx
sub rsp,20
mov ecx,<TlsValue_for_register>
xor rdx,rdx
call @lable3 //e8 00 00 00 00
@lable3:
add dword ptr ss:[rsp],12
push <low_32bit_TlsSetValue>
mov dword ptr ss:[rsp+4],<high_32bit_TlsSetValue>
ret
add rsp,20
pop rdx
pop rcx
pop rax
popfq
push <low_32bit_jmpbackAdr>
mov dword ptr ss:[rsp+4],<high_32bit_jmpbackAdr>
ret

x86的中转函数也没必要贴了,搜索一下满地都是。

利用代码就不贴了,需要成品的可以到零日论坛下载:http://www.jmpoep.com/thread-1053-1-1.html

yes2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
inline-hook:简单的内联挂钩框架适用于x86x64,手臂和拇指
04-30
这是一个简单的inline-hook框架,目前仅适用于intel(32bit,64bit)和arm(仅适用于arm32和thumb),它基于c ++ 11的新功能。 如何构建:基于cmake 2.8的框架,您所要做的就是: cmake。 制作 使用方法: 该框架的用法非常简单,example(main.cpp)如下所示: # include " ../hooker/HookerFactory.h " # include < iostream> # include < cstring> # include < future> # include < cstdio> # include < random> # include < memory> void print ( const char *s) { std::cout << s << std::endl; } in
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
06-26
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
x64架构下Linux系统函数调用
最新发布
qq_38350702的博客
06-07 72
call指令会将当前指令寄存器中的内容(即这条call指令下一条指令的地址,也就是函数执行完的返回地址)入栈,然后跳到函数对应的地址开始执行。ret指令用于从子函数中返回,ret指令会先弹出当前栈顶的数据,这个数据就是先前调用这个函数的call指令压入的“下一条指令的地址”,然后跳转到这个地址执行。ret指令用于从子函数中返回,ret指令会先弹出当前栈顶的数据,这个数据就是先前调用这个函数的call指令压入的“下一条指令的地址”,然后跳转到这个地址执行。pop指令将数据出栈并写入寄存器。
任意地址HOOK
sunflover454的专栏
10-10 5617
代码HOOK技术不管在安全领域还是在木马病毒方面都运用很广泛,因为他可以改变程序执行流程,悄无声息执行我们自己的代码。 之前我也用过一些hook类,如mhook等,但很多都局限于API HOOK,有的时候无法满足实际应用。也因此,我自己的hook类就诞生了。
Windows下x86x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 1653
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
x64内核hook
liuhaidon1992的博客
01-07 1489
x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
C/C++ x64 Inline Hook 代码封装
m0_46135508的博客
11-10 987
接着来研究一下64位程序的Hook,64位与32位系统之间无论从寻址方式,还是语法规则都与x32架构有着本质的不同,所以上面的使用技巧只适用于32位程序,注入32位进程使用,下面的内容则是64位下手动完成Hook挂钩的一些操作手法,由于64位编译器无法直接内嵌汇编代码,导致我们只能调用C库函数来实现Hook中转.简单实现64位Hook去弹窗: 由于64位编译器无法直接内嵌汇编代码,所以在我们需要Hook时只能将跳转机器码以二进制字节方式写死在程序里,如下代码是一段简单的演示案例,主要实现了去弹窗的功能.
windows的hook实现demo(全面支持X86/X64
10-06
Windows上的局部hook技术,全面支持32bit和64bit程序。更多更详细信息请关注公众号:AV_Chat
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
x86架构通常使用JMP或CALL指令来跳转到Hook处理程序,而x64架构则更倾向于使用RIP相对寻址,因为x64指令集更倾向于减少绝对地址的使用。Inline Hookx64上需要考虑到更大的指令长度和寄存器使用的变化。 提供的...
C# 优雅的 APIHOOK 支持X86+X64源码
09-21
//绕过Hook直接调用源函数 hook.Origin(IntPtr.Zero, "111", "222", 0); //调用Api 被Hook MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); } //Hook解除拦截不到 MessageBox.Show(...
mhook最新版下载 mhook-master mhook2.5 WindowsAPIHOOK 支持X86 X64 含Demo
09-06
支持X86 X64 含Demo VS2010,(但易语言不支持x64)(亲测火山PC可用x64!!) 接口简单,功能强大,支持32位和64位进程API hook hookApi的好工具(NtQueryInformationProcess;CheckRemoteDebuggerPresent) mhook-lib,disasm...
Winmm劫持源码, 支持X64
03-08
Winmm劫持源码, 支持64位 APIHook
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4225
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
Windows 10_X64环境shellcode编写
Anansi的博客
11-20 2098
环境 windows 10_x64 windbg_x64 x64dbg nasm 适用于 VS 2017 的 x64 本机工具命令提示(安装visual studio会自带) redasm shellcode shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言/汇编编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 虽然现在的操
D3D游戏降帧的动态创建D3D设备以及ShellCode HOOK玩法
Gnorth的专栏
07-15 5386
说白了,也就是HOOK掉Present,这种代码,其实百度上某些地方有,但是很多人估计不知道怎样得到Present的地址。 所以就有些奇葩的例子: 先到游戏的登录器内把CreateProcess之类的HOOK掉,让游戏进程暂停启动,然后注入游戏 HOOK Direct3DCreate9 得到 IDirect3D9 对象之后,又得到 IDirect3DDevice9 对象,最终得到Present
汇编语言基础1
pureman_mega的博客
12-13 824
x86是基于Intel8086处理器的小端(little-endian)体系结构(就是先存储低位的字节)。处理器通常可以运行在两种模式下:实模式和保护模式。实模式是指处理器刚通电后只支持16位指令集的状态。保护模式是指处理器支持虚拟内存,分页以及其他的功能状态,也是运行当代操作系统的状态。 寄存器 寄存器是cpu内部的高速存储单元,访问速度比内存快得多,用来存取程序运行中的各种信息。常用的
使用Git Hook配置提交模板
进击的小宇宙
08-16 3132
在开发中,为了规范化提交信息,以便追溯修改和理解修改内容,通常会采用统一的提交信息模板来约束开发人员。因此可以通过配置git,来提升便利性。
frida-java层常用模板
warmful的博客
01-12 1012
1、HOOK普通方法 import frida, sys jscode =""" Java.perform(function () { var utils = Java.use('com.renren.mobile.utils.RSA');//Java.use('类名') utils.D.implementation D为方法名 utils.D.implementation = function (a, b,c) { console.log("
X86 PUSHF/PUSHFD/PUSHFQ 指令详解
ross1206的博客
06-01 9625
SDM指令功能描述(PUSHF/PUSHFD/PUSHFQ) 总体描述: 根据操作数宽度的不同: 32: 栈指针递减4,然后压入eflags寄存器的值 16: 栈指针递减2,然后压入eflags的低16位 64: 栈指针递减8,然后压入rflags寄存器的值 当把eflags复制到栈顶的时候,VM(bit16)和RF(bit17)位不会被复制,而 会用 0填充**在虚808
NOTE: > Executing update_desktop_database intercept ... NOTE: > Executing update_gtk_immodules_cache intercept ... NOTE: Exit code 1. Output: /home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/intercept_scripts-b51052418cd1de15aa19deeae9844eade47e1e2e32985d114ac9c6c1afe994aa/update_gtk_immodules_cache: line 15: /home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/rootfs/usr/lib64/gtk-3.0/3.0.0/immodules.cache: No such file or directory chown: cannot access '/home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/rootfs/usr/lib64/gtk-3.0/3.0.0/immodules.cache': No such file or directory ERROR: The postinstall intercept hook 'update_gtk_immodules_cache' failed, details in /home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/temp/log.do_rootfs NOTE: > Executing update_desktop_database intercept ... NOTE: > Executing update_gtk_immodules_cache intercept ... NOTE: Exit code 1. Output: /home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/intercept_scripts-b51052418cd1de15aa19deeae9844eade47e1e2e32985d114ac9c6c1afe994aa/update_gtk_immodules_cache: line 15: /home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/rootfs/usr/lib64/gtk-3.0/3.0.0/immodules.cache: No such file or directory chown: cannot access '/home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/rootfs/usr/lib64/gtk-3.0/3.0.0/immodules.cache': No such file or directory ERROR: The postinstall intercept hook 'update_gtk_immodules_cache' failed, details in /home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/temp/log.do_rootfs DEBUG: Python function do_rootfs finished如何解决
07-20
根据错误信息,看起来缺少文件或目录导致了问题。你可以尝试以下解决方案: 1. 确保你的系统上安装了正确的GTK库。可以通过运行以下命令来安装GTK库: ``` sudo apt-get install libgtk-3-dev ``` 2. 确保你的构建目录中的文件和目录结构正确。你可以尝试重新构建或清理构建目录,然后再次尝试。 3. 检查构建配置文件是否正确设置了GTK相关的路径。可能需要修改配置文件以指定正确的路径。 如果上述解决方案无效,建议查看详细的错误日志文件 `/home/wu/g2l/build-niicl-nom-r001l/tmp/work/nom_r001l-niic-linux/core-image-weston/1.0-r0/temp/log.do_rootfs`,以获取更多关于错误的信息,帮助进一步定位问题并提供更准确的解决方案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值