Ring3层hook

最新推荐文章于 2021-01-20 17:09:27 发布
最新推荐文章于 2021-01-20 17:09:27 发布
阅读量720 收藏
点赞数
分类专栏: 注入 Hook Windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90735814
版权
Windows编程 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
Hook
11 篇文章 1 订阅
订阅专栏
注入
5 篇文章 0 订阅
订阅专栏

hook engine:

nthookengine

mhook

Detour

方法:

本进程hook,直接调用hook函数(自己进程还要hook?),否则写一个dll,在dll里hook每一个函数,然后将该dll注入到目标进程,达到hook目标进程中的函数的目的。

MHOOK

要获取原始函数地址

#include mhook.h
typedef ULONG (WINAPI* _NtOpenProcess)(OUT PHANDLE ProcessHandle, 
	     			IN ACCESS_MASK AccessMask, 
				IN PVOID ObjectAttributes, 
		 		IN PCLIENT_ID ClientId ); 
_NtOpenProcess TrueNtOpenProcess = (_NtOpenProcess)
	GetProcAddress(GetModuleHandle(L"ntdll"), "NtOpenProcess");
 
ULONG WINAPI HookNtOpenProcess(OUT PHANDLE ProcessHandle, 
				IN ACCESS_MASK AccessMask, 
				IN PVOID ObjectAttributes, 
				IN PCLIENT_ID ClientId)
{
	return TrueNtOpenProcess(ProcessHandle, 
				AccessMask, 
				ObjectAttributes, 
				ClientId);
}
 
Mhook_SetHook((PVOID*)&TrueNtOpenProcess, HookNtOpenProcess);
Mhook_Unhook((PVOID*)&TrueNtOpenProcess);

NTHookEngine

引擎提供一个hook表自己找到原来的函数

int WINAPI MyMessageBoxW(HWND hWnd, LPCWSTR lpText, 
			LPCWSTR lpCaption, UINT uType,				
WORD wLanguageId, DWORD dwMilliseconds)
{
	int (WINAPI *pMessageBoxW)(HWND hWnd, LPCWSTR lpText, 
		LPCWSTR lpCaption, UINT uType, WORD wLanguageId, 
		DWORD dwMilliseconds);
 
	pMessageBoxW = (int (WINAPI *)(HWND, LPCWSTR, LPCWSTR, UINT, WORD, DWORD))
		GetOriginalFunction((ULONG_PTR) MyMessageBoxW);
 
	return pMessageBoxW(hWnd, lpText, L"Hooked MessageBox",
		uType, wLanguageId, dwMilliseconds);
}
 
HookFunction((ULONG_PTR) GetProcAddress(LoadLibrary(_T("User32.dll")),
		"MessageBoxTimeoutW"), 
		(ULONG_PTR) &MyMessageBoxW);
 
UnhookFunction((ULONG_PTR) GetProcAddress(LoadLibrary(_T("User32.dll")), 
		"MessageBoxTimeoutW"));

 

R3跨进程hook思路

就是一个dll文件,调用hookengine负责hookAPI,hooker来把dll注入目标进程中,hookee,获取pid并被hooker打开被注入。

需要dll注入才能hook原因是r3进程地址私有

NThook的dll代码片段


VOID HookIt(VOID)
{
	HMODULE hHookEngineDll = LoadLibrary(_T("NtHookEngine.dll"));

	HookFunction = (BOOL (__cdecl *)(ULONG_PTR, ULONG_PTR))
		GetProcAddress(hHookEngineDll, "HookFunction");

	UnhookFunction = (VOID (__cdecl *)(ULONG_PTR))
		GetProcAddress(hHookEngineDll, "UnhookFunction");

	GetOriginalFunction = (ULONG_PTR (__cdecl *)(ULONG_PTR))
		GetProcAddress(hHookEngineDll, "GetOriginalFunction");

	if (HookFunction == NULL || UnhookFunction == NULL || 
		GetOriginalFunction == NULL)
		return;

	//
	// Hook ALL the apis you want here
	//

	HookFunction((ULONG_PTR) GetProcAddress(LoadLibrary(_T("User32.dll")),
		"MessageBoxTimeoutW"), 
		(ULONG_PTR) &MyMessageBoxW);
	HookFunction((ULONG_PTR) GetProcAddress(LoadLibrary(_T("KERNEL32.DLL")),
		"CreateProcessA"), 
		(ULONG_PTR) &myCreateProcessA);

	HookFunction((ULONG_PTR) GetProcAddress(LoadLibrary(_T("KERNEL32.DLL")),
		"CreateProcessW"), 
		(ULONG_PTR) &myCreateProcessW);

	// save the original api address

	OldCreateProcessW = (CREATPROCESSW) GetOriginalFunction((ULONG_PTR) myCreateProcessW);
	OldCreateProcessA = (CREATPROCESSA) GetOriginalFunction((ULONG_PTR) myCreateProcessA);
	OldMessageBoxW = (MESSAGEBOXW)GetOriginalFunction((ULONG_PTR) MyMessageBoxW);


}

hooker代码

AddDebugPrivilege();
	UpdateData(TRUE);

	//MessageBox(_T("Failed"));

	HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD | 
		PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE  | 
		PROCESS_VM_READ,FALSE, m_dwPid);
	if (hProcess == NULL)
	{
		MessageBox(_T("Failed"));
		return;
	}

	InjectDll(hProcess, _T("hookdll.dll"));

	//(CButton*)GetDlgItem(IDOK)->EnableWindow(FALSE);
	//OnOK();

 

kernweak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
Ring3Hook API实现分析
panda1987的专栏
01-18 7698
    本文主要针对用户级别下HOOK API的方法进行一下总结。对应的,自然也有ring0下的HOOK API方法,但是这个需要一些驱动方面的基础,暂时不在本文讨论范围内。另外ring3下的HOOK API方法也有很多种,我只列举我所能想到的。    所谓HOOK API,与Windows 下的HOOK其实是完全两个概念,风马牛不相及。当然在之后的讨论中你也会看到有关于windows hook的讨论,但是这是另外一个话题了。    那么到底什么是HOOK API呢?我们可以暂且简单的认为HOOK API就
windows ring3 注入及hook
Tesi1a的充电桩
05-08 465
需求背景 动态修改程序的函数oldsub()执行我们的newsub() 此时则需要注入并hook 注入 简单的远程线程注入分三步 //获取进程句柄 //提升权限 //注入dll #include <windows.h> //获取进程句柄 HANDLE GetThePidOfTargetProcess(HWND hwnd) { DWORD pid; GetWindowT...
API拦截—实现Ring3全局HOOK
迈克揉索芙特
01-02 4575
       魏滔序注:本转载内容仅用来技术研究,请勿于损人害己之用。       首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程,然后对每个Ring3进程执行一遍HOOK操作。但是,系统中总有新进程产生,对于这些新进程我们怎么处理
ring3 hook ZwWriteVirtualMemory
weixin_30820151的博客
01-04 424
typedef LONG NTSTATUS;typedef NTSTATUS (NTAPI *PNtZwWriteVirtualMemory) ( IN HANDLE hProcess, IN PVOID BaseAddress, IN PVOID Buffer, IN ULONG BytesToWrite, OUT PULONG BytesWritten ); PNtZwWriteVir...
Hook ShadowSSDT Ring3
11-28
通常,恶意软件会尝试在Ring3hook系统服务,以便在调用特定系统服务时执行自定义代码,达到监控、控制或干扰系统的目的。 **Hook技术** Hook是一种编程技术,通过在函数调用的前后插入自定义代码来拦截并可能...
IRP HOOK 拦截ring0驱动的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动的IRP包.ring0 rootkit hook
Ring3_Inline_Hook.zip
05-02
Ring3下的Inline Hook是最常用的Hook手段之一,是一种通过修改机器码的方式来实现hook的技术。 1、构造跳转指令。 2、在内存中找到欲HOOK函数地址,并保存欲HOOK位置处的前5个字节。(但其实并不一定就是5个字节,...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
3. **检测和恢复被hook的服务**:遍历SSDT,检查每个服务的入口点是否被修改。如果发现被hook,将原始的、未被hook的函数地址写回SSDT。 4. **保护SSDT**:为了避免SSDT自身也被hook,可能需要采取额外的保护措施,...
3.ring3-hook的2种基础方式(SetWindowsHookEx、CreateRemoteThread、)
hgy413的专栏
02-08 1782
SetWindowsHookEx  1.在成功调用 SetWindowsHookEx 后,系统自动映射 DLL 到钩子作用的线程地址空间,但不会立即发生映射,因为 Windows 钩子都是消息,DLL 在消息事件发生前并没有产生实际的映射。 2.为了强制进行映射,在调用 SetWindowsHookEx 之后马上发送一个事件到相关的线程。 SendMessage(hWnd, WM_HOO
ring3下实现HOOK API续之进程防杀
03-31
ring3下实现HOOK API续之进程防杀
1.ring3-windows hook机制详解
hgy413的专栏
05-28 1838
WINDOWS 的消息机制 Windows 系统是以消息处理为其控制机制,系统通过消息为窗口过程( windows procedure)传递输入。系统和应用两者都可以产生消息。 Windows 的消息处理机制为了能在应用程序中监控系统的各种事件消息,提供了挂接各种回调函数(HOOK)的功能。可以挂接多个反调函数构成一个挂接函数链。系统产生的各种消息首先被送到各种挂接函数,挂接函数根据各自的
ring3 inline hook例子
yxuenong的专栏
12-14 754
ring3 inline hook例子 #include #include #include //修改API入口为mov eax,00400000; jmp eax 跳转到自己的函数 BYTE NewBytes[8] = {0xB8,0x0,0x0,0x40,0x0,0xFF,0xE0,0x0}; BYTE OldBytes[8] = {0}; FARPROC Crea
Ring3 hook动态库优先加载劫持函数调用(用于实现文件监控)
qq_42896627的博客
04-16 359
1 #include <stdio.h> 2 #include <string.h> 3 #include <stdl...
Linux应用hook技术总结与实例
qq_33838877的博客
01-20 2453
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
自写Api过r3的Api函数hook
被遗弃的庸才博客
08-13 912
这里验证的环境是win7 64位和win10 64位 首先是64位程序,这里由于win7和win10的调用号不同,需要根据所使用的系统修改相应的调用号,顺带说明一下win64的vs程序是不支持内联汇编,这里是我自己下载的intel的parallel studio使得vs支持了内联汇编。 #include<windows.h> /*------------------------...
RING3代码HOOK的原理实现
junjie1595的专栏
10-31 325
最初看见俄国一份DELPHI代码这样实现,他的优点在于1, 在代理函数的内部不用先UNHOOK,再调用,再重新HOOK,否则多线程下会出问题 2, 没有硬编码,结构性比较好。#include #include #include using namespace std; #define bt 5 unsigned int* Oldpro; typedef int (_stdcall * MY
生活在ring3ring0的Native API
congwulong的专栏
02-19 2186
朋友,你用过Native API函数吗?如果你接触过,也许你知道一个事实:Native API函数名在两个不同的模块里存在重名现象。形象地来说,在Ring3有一个名字叫NtOpenFile的函数,在Ring0,也有一个名字叫做 NtOpenFile的函数。他们说处的地方不一样,而且实现也不一样。不仅仅是NtOpenFile,所有的Native API函数都是如此。众所周知重名有可能引起混乱,就
Ring3下Inline Hook API
十年磨一剑,霜刃未曾试!
07-16 4129
用CreateFile为例子,讲解一下Ring3下的Inline Hook API,基本原理很简单1、获取CreateFile函数的地址2、读取CreateFile函数的前8个字节3、将CreateFile函数的前8个字节,修改成mov eax,我的函数地址  jmp eax4、
Windows Ring3DLL注入技术总结
"这篇文章除了介绍Windows x86/x64 Ring3Dll注入的概念,还总结了六种Dll注入技术,并提供了权限提升的函数示例。" 本文主要探讨的是Windows操作系统中的Dll注入技术,特别是在Ring3,即用户模式下的注入方法。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值