使用INT3进行HOOK处理

最新推荐文章于 2023-02-04 10:13:08 发布
最新推荐文章于 2023-02-04 10:13:08 发布
阅读量1.9k 收藏
点赞数
分类专栏: Delphi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yoie01/article/details/8702257
版权

原理:设置异常捕获,然后将需要HOOK的代码直接修改成INT3即可

用的一个关键的API:SetUnhandledExceptionFilter

//异常处理函数
function MyInt3(CONST P:EXCEPTION_POINTERS):Integer;cdecl;
var
 add:Pointer;
begin
  OutputDebugString(PChar(inttohex(P.ExceptionRecord.ExceptionCode,2)));
  Add:=p.ExceptionRecord.ExceptionAddress;
  OutputDebugString(PChar(Format('Address:%x ',[Cardinal(Add)])));
  inc(p.ContextRecord.Eip);
  result:=-1;
end;

执行  SetUnhandledExceptionFilter(@MyInt3);


为了防止DELPHI自身捕获到异常,先要对其进行清除

asm
   @Loop:
    mov eax,fs:[0]
    cmp dword ptr [eax],$FFFFFFFF
    je @SEHCleared
    mov eax,[eax]
    mov fs:[0],eax
    jmp @Loop
   @SEHCleared:
end;


Yoie
关注
专栏目录
摸索Detours 3:使用Detours 采用dll 方式进行Hook
小鸣的专栏
09-09 1457
1.准备工作 新建一个DLL项目,当然 依旧是要按照前面所说的配置一下包含目录和库目录。然后就可以开始了。 2.开始,注入用Dll 使用DLL进行Hook的时候,主要处理DLL_PROCESS_ATTACH和DLL_PROCESS_DETACH 这两项,在编写相应的处理代码之前,当然是要先定义和引入需要Hook的函数,和替换的函数,如下: static int (WINAPI* Ol...
INT 3 异常反调试
weixin_37740119的博客
01-22 962
代码转自https://bbs.pediy.com/thread-225740.htm #include"stdio.h" #include"windows.h" #include"tchar.h" voidAD_BreakPoint() { printf("SEH:BreakPoint\n"); __asm{ //installSEH pushhandler ...
利用SEH和INT3实现API HOOK.rar
09-17
利用SEH和INT3实现API HOOK.rar
【转】利用SEH和INT3实现API HOOK
01-07 198
标 题: 【原创】利用SEH和INT3实现API HOOK作 者: weizehua时 间: 2011-03-27,23:50:38链 接: http://bbs.pediy.com/showthread.php?t=131457 用SEH技术实现API Hook,网上已经有帖子了,可是那些帖子太老,太陈旧,只是适用于95、95时代。 在XP上,网上说的方法根本行不通。 小...
函数Int3断点检测
weixin_34008784的博客
06-08 96
00D94F70 55 push ebp 00D94F71 8BEC mov ebp,esp 00D94F73 51 push ecx 00D94F74 53 push ebx 00D94F75 56 push esi 00D94...
idt hook 3
yaneng的专栏
06-18 3252
二.IDT hook   (一)基本思路:IDT(Interrupt Descriptor Table)中断描述符表,是用来处理中断的。中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确
对模拟int3的探索
weixin_34418883的博客
01-21 161
最近由于某个程序需要,探索了下int3指令,目的是不通过idt中断表,直接访问KiTrap03函数.写此文的目的是 1,询问几个问题, 2,分享下探索过程 以下是整个探索过程: 首先开启双机调试(VMWIN7+WINDBG),ctrl+break中断后,栈回溯如图: 可以看到断点的由来是RtlpBreakWithStatusInstr...
int3-Hook.rar_INT3HOOK.cpp_hook_int3_vc hook INT3_visual c
09-24
【标题】"int3-Hook.rar_INT3HOOK.cpp_hook_int3_vc hook INT3_visual c" 涉及的是一个关于Windows编程中的钩子技术,特别是使用INT3指令进行钩子实现的相关内容。在这个项目中,开发者可能使用了C++语言(vc即...
易语言HOOK异常处理
07-22
在标题提到的"易语言HOOK异常处理"中,我们关注的是如何在易语言中实现对系统或应用程序的钩子,并在发生异常时进行有效处理。"HOOKSehProc"可能是一个自定义的异常处理过程,用于替代默认的异常处理器,当异常发生...
C#easyHook使用demo
08-14
2. **创建远程方法**:使用`EasyHook.LocalHook`或`EasyHook.RemoteHooking.Create`创建钩子,并指定要拦截的方法、本地处理方法以及可能的其他参数。 3. **启动钩子**:使用`LocalHook.Install`或`RemoteHooking....
手工处理int3实时监控Linux系统键盘输入
热门推荐
Netfilter
06-01 1万+
上周写了一篇Linux系统监控键盘输入的文字: https://blog.csdn.net/dog250/article/details/106425811 事后想了下,能不能不用标准的5字节32位相对地址跳转实现inline hook,换一种方法实现呢? 嗯,换int3实现! stap就是int3实现的,但是那毕竟是现成的工具,我需要一种手艺人的方法。 我们知道,n_tty_receive_char函数实属有符号的inline,它并非FTRACE NOP开头的标准函数,所以本来就很难用5字节替换来inli
IDT hook KiTrap03
weixin_30632899的博客
03-23 197
关于idt的基本知识就不进行赘述了,先看一个例子 0x1000: mov eax,0 0x1006: Int 3 ;------->进入内核,找到中断处理例程KiTrap03 0x1007: Mov eax,1 这段代码执行,触发3号中断,然后开始执行KiTrap03例程,要知道,执行完中断以后还是要回到原来的程序处继续执行...
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7619
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
SetUnhandledExceptionFilter捕获所有异常
YT专栏
02-04 941
SetUnhandledExceptionFilter终极大法
SetUnhandledExceptionFilter让程序优雅的崩溃(转)
ahoo110的博客
05-24 870
虽然是大公司的产品,QQ它还是会在我们的折腾下崩溃的,但是它总是崩溃的很优雅,还要弹出自己的对话框来结束。并且发送报告,去掉了系统默认的发送报告的对话框。所以一拍脑袋,想让自己的程序崩溃的体面一点。自己想了大概的思路,觉得可以用一个进程来监控目标程序。的确也可以拿到了目标程序崩溃的信息,知道它什么时候崩溃的,也可以做额外的操作,但是这样是没办法把默认的发送错误的对话框去掉的。然后又有人说是不是采用了
[Delphi]使用MAP文件查找程序地址类错误行
07-31 582
在CSDN晃悠的时候无意发现MAP文件使用,记录下来供大家学习。 仅通过崩溃地址找出源代码的出错行 相信很多人都曾经遇到自己的程序在执行代码时会跳出“Access xxxxx”地址错误。在通常情况下,我们根据此错误信息追踪不到错误代码行,只能一个个去看代码。特别是自己的软件已经发布,刚开始运行OK,但是时不时会跳出错误---真的是一件很崩溃的事情。可是你知道吗?我们已经拥有去追踪错误的方法,只是你一直不知道而已。 MAP文件 什么是 MAP文件?简单地讲,MAP文件...
如何使用hook拦截WM_PAINT消息
最新发布
06-06
可以通过以下步骤使用hook拦截WM_PAINT消息: 1. 创建一个回调函数来处理hook事件。 2. 使用SetWindowsHookEx函数来创建hook并将其附加到一个窗口。 3. 在回调函数中,处理WM_PAINT消息并执行所需的操作。 4. 在不需要hook时,使用UnhookWindowsHookEx函数将其从窗口中移除。 以下是一个示例代码: ```c++ LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam) { if (nCode >= 0 && wParam == WM_PAINT) { // 处理WM_PAINT消息 // ... } return CallNextHookEx(NULL, nCode, wParam, lParam); } HHOOK hHook = SetWindowsHookEx(WH_CALLWNDPROC, HookProc, hInstance, 0); // ... UnhookWindowsHookEx(hHook); ``` 请注意,此代码示例仅用于说明如何使用hook拦截WM_PAINT消息,实际应用中可能需要进行更多的错误处理和逻辑控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值