A盾学习笔记(2)反inlinehook

最新推荐文章于 2023-05-28 11:16:45 发布
最新推荐文章于 2023-05-28 11:16:45 发布
阅读量468 收藏
点赞数
分类专栏: windows 驱动开发 内核 ARK Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/94802088
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

下面学习下反inlinehook

在工程的AntilineHook.c里

总体思路就是找到jmp指令,判断是不是被inlinehook的跳转,然后自己重载了内核之后,把原来被感染inlinehook跳过去执行的函数的地址位置,再hook成我们重载正常的的函数地址,实现反inlinehook,我还以为要把污染的hook拷贝成正常code。

VOID AntiInlineHook(WCHAR *FunctionName)
{
	ULONG ulTemp = NULL;
	PUCHAR p;
	BOOL bIsHooked = FALSE;
	INSTRUCTION	Inst;
	INSTRUCTION	Instb;
	BOOL bInit = FALSE;
	ULONG ulHookFunctionAddress;
	ULONG JmpReloadFunctionAddress;

	__try
	{
		//RMmIsAddressValid = ReLoadNtosCALL(L"MmIsAddressValid",SystemKernelModuleBase,ImageModuleBase);
		if (RMmIsAddressValid)
		{
			bInit = TRUE;
		}
		if (!bInit)
			return;

		JmpFunctionAddress = GetSystemRoutineAddress(1,FunctionName);  //得到函数地址

		if (DebugOn)
			KdPrint(("Get System Routine Address:%ws:%08x\r\n",FunctionName,JmpFunctionAddress));

		if (JmpFunctionAddress)
		{
			JmpReloadFunctionAddress = JmpFunctionAddress - SystemKernelModuleBase + (ULONG)ImageModuleBase;  //获得原始地址

			if (!RMmIsAddressValid(JmpFunctionAddress) ||
				!RMmIsAddressValid(JmpReloadFunctionAddress))
			{
				if (DebugOn)
					KdPrint(("get function failed\r\n"));
				return;
			}
			if (GetFunctionCodeSize(JmpFunctionAddress) == GetFunctionCodeSize(JmpReloadFunctionAddress) &&
				memcmp(JmpFunctionAddress,JmpReloadFunctionAddress,GetFunctionCodeSize(JmpFunctionAddress)) != NULL)//意味着被inlinehook了,长度一样,内容不一样
			{
				if (DebugOn)
					KdPrint(("search---->%ws",FunctionName));
				//KdPrint(("---->%s:%08x",functionName,ulOldAddress));
				//开始扫描hook
				for (p=JmpFunctionAddress ;p< JmpFunctionAddress+GetFunctionCodeSize(JmpFunctionAddress); p++)
				{
					//是否结束?
					if (*p == 0xcc ||
						*p == 0xc2)//ret
					{
						break;
					}
					ulHookFunctionAddress = (*(PULONG)(p + 1) + (ULONG)p + 5);  //得到hook的地址,就是jmp指令跳到的函数地址
					if (!RMmIsAddressValid(ulHookFunctionAddress))
					{
						continue;
					}
					ulTemp = NULL;//跳转地址,对P位置反汇编,libdasm和xde
					get_instruction(&Inst,p,MODE_32);//就是把p处二进制转化成汇编
					switch (Inst.type)//下面几个都是各种跳转的opcode
					{
					case INSTRUCTION_TYPE_JMP:
						if(Inst.opcode==0xFF&&Inst.modrm==0x25)
						{
							//DIRECT_JMP
							ulTemp = Inst.op1.displacement;
						}
						else if (Inst.opcode==0xEB)
						{
							ulTemp = (ULONG)(p+Inst.op1.immediate);
						}
						else if(Inst.opcode==0xE9)
						{
							//RELATIVE_JMP;
							ulTemp = (ULONG)(p+Inst.op1.immediate);
						}
						break;
					case INSTRUCTION_TYPE_CALL:
						if(Inst.opcode==0xFF&&Inst.modrm==0x15)
						{
							//DIRECT_CALL
							ulTemp = Inst.op1.displacement;
						}
						else if (Inst.opcode==0x9A)
						{
							ulTemp = (ULONG)(p+Inst.op1.immediate);
						}
						else if(Inst.opcode==0xE8)
						{
							//RELATIVE_CALL;
							ulTemp = (ULONG)(p+Inst.op1.immediate);
						}
						break;
					case INSTRUCTION_TYPE_PUSH:
						if(!RMmIsAddressValid((PVOID)(p)))
						{
							break;
						}
						get_instruction(&Instb,(BYTE*)(p),MODE_32);
						if(Instb.type == INSTRUCTION_TYPE_RET)
						{
							//StartAddress+len-inst.length-instb.length;
							ulTemp = Instb.op1.displacement;
						}
						break;
					}
					if (ulTemp &&
						RMmIsAddressValid(ulTemp))
					{
						if (ulTemp > SystemKernelModuleBase &&
							ulTemp < SystemKernelModuleBase+SystemKernelModuleSize)   //太近的跳也不是,函数内部的跳转,一般不是rootkit的跳转
						{
							continue;
						}
						//ulTemp也不能小于 SystemKernelModuleBase,就是应用层跳转了。
						if (ulTemp < SystemKernelModuleBase)
						{
							continue;
						}
						if (*(ULONG *)ulTemp == 0x00000000 ||
							*(ULONG *)ulTemp == 0x00000005)
						{
							continue;
						}
						if (ulTemp > ulMyDriverBase &&//a盾的hook
							ulTemp < ulMyDriverBase + ulMyDriverSize)
						{
							if (DebugOn)
								KdPrint(("safesystem hook, denied access!"));
							return;
						}
						ulRunAddress = (ULONG)p - (ULONG)JmpFunctionAddress;   //执行到达hook点的时候,一共执行了多少长度的代码
						JmpReloadFunctionAddress = JmpReloadFunctionAddress + ulRunAddress;     //跳过前面执行的代码,继续往下执行 

						if (DebugOn)
							KdPrint(("found hook---->%ws:%08x:%08x-%x-%08x",FunctionName,ulTemp + 0x5,p,ulRunAddress,JmpReloadFunctionAddress));


						//得到正确的跳转地址,直接hook人家的hook函数的头部,然后让它跳到reload代码的ulReloadAddress地址处继续执行剩下的代码,这样就绕过hook鸟
						ulTemp = ulTemp + 0x5;

						HookFunctionByHeaderAddress(
							(DWORD)JmpReloadFunctionAddress,
							ulTemp,//这个是正在运行的内核中inlinehook之后的代码
							(PVOID)HookFunctionProcessHookZone,
							&HookFunctionProcessPatchCodeLen,
							&HookFunctionProcessRet
							);
					}
				}
			}
		}

	}__except(EXCEPTION_EXECUTE_HANDLER){

	}
	return;
}

 

kernweak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ring3下伪装进程名绕过HS 部分Inline hook (by 小枫)
OSReact的专栏
07-12 3424
以前有人发过类似文章(或者说我抄袭了吧。),但是那个代码我测试了已经不能用了。貌似MFC上也会出错。这里我的代码可以在mfc上使用。 此方法不需注入就读写Hackshield的进程地址空间数据,以及其它API的Detour Hook。【不能用于过保护。】 HS白名单可用伪装的进程列表, 代码: 1. Name: patcher.exe 2. Name: WerFault.exe
Hook攻防之InlineHook
最新发布
xf555er的博客
06-16 1571
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
中转inline hook,不需要恢复首字节的hook
friendan的专栏
02-23 5536
注:我实验的环境:win7 x64 经验证XP会有稍微区别,主要是我本次实验HOOK的API, 从XP到WIN7微软有了些许改变。 ------------------------------------------------------------------------------------------------------------------------------------
HOOK地址还原
weixin_30675247的博客
09-09 195
H头文件 ////////////////////////////////////////////////////////////////////// ////////////////////////////////////////////////////////////////////// typedef struct _ServiceDescriptorTable { PVOID S...
某同学的inline hook检测程序简单逆向分析
10-16 2174
 测试了下,主机上完全不行,虚拟机上运行成功过一次,然后运行了其他的ARK就BSOD的了。没有具体的分析dump文件;检测inline hook的结果不是很完善,且有一部分的错误. 简单说说我对程序的静态分析吧: 1. EXE运行后,得到NtQuerySystemInformation函数地址,传递SystemModuleInformation号获取系统模块信息,取得系
Inline HOOK
Tandy12356_的博客
05-28 3947
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
2. **异常处理**:Inline Hook可能会引入未预期的异常,因此需要处理可能出现的错误情况,如内存访问冲突或指令流水线问题。 3. **钩子注册与解除**:为了能够正确地启用和禁用Hook,需要维护一个钩子注册表,以便...
代码实例分析android中inline hook
08-28
通过学习和掌握 Inline Hook 技术,我们可以更好地控制和修改应用程序的行为。 知识点 1. Inline Hook 技术是 Android 操作系统中的一种 Hook 技术。 2. Inline Hook 技术可以用来拦截和修改应用程序的行为。 3. ...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机...cpp-stub-master这个库可能是学习和研究这一技术的一个好起点,通过阅读和分析源码,我们可以更深入地了解如何在实际项目中应用inline hook
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
用开源汇编引擎检测inline hook
12-10
用开源汇编引擎检测inline hook
详谈内核的Inline_Hook实现
11-08
Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline 的时候做的很深,来躲避inline 的检测,前提是必须对函数的流程和指令非常熟悉,且这种深层次的inlline 不具有通用性,稳定性也是问题。本文讨论的是具有通用性的两类inline的实现。
绕过ring3下inline hook
03-19
绕过ring3下inline hook...delphi源码!非常有借鉴价值。
C++实现inline hook的原理及应用实例
09-04
2. **Inline Hook工作流程**: - **API版本验证**:首先,我们需要确定要hook的内核API的版本,确保我们的hook代码与目标函数的特征码匹配。 - **编写代理函数**:设计一个函数,它包含堆栈调整、遗失指令执行和...
二、C++作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1356
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL》
主流安卓APP作弊及作弊的一些思路和经验汇总
键盘的起始页
01-28 4538
作弊检测 基于设备 1.检测是否存在危险APP包名 主要检测hook框架,模拟点击工具,magisk,supersu等root工具 2.检测是否存在危险Class 主要检测hook框架的安卓框架层包 3.检测是否存在root权限 一般通过是否存在bin、sbin目录里的su文件,kingroot权限管理apk 4.检测是否有调试状态 default.prop文件的ro.secure=1、ro.debuggable=1状态,/proc/self/status文件的TracerPid值 5.
inlinehook 看这一篇
01-09 3866
inlinehook 代码实战
Inline Hook
Android系统攻城狮
03-07 802
什么是Inline Hook Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表Hook相比,Inline Hook具有更广泛的适用性,几乎可以Hook任何函数,不过其实现更为复杂,考虑的情况更多,并且无法对一些太短的函数Hook。 其基本原理请参阅网上其他资料。 需要解决的问题 Arm模式与T...
C语言关键字 inline 讲解?一定要防止踩到这几个屎坑!
程序员入门进阶
02-20 1594
C语言指针蒙圈?我们逆向把它按在地上摩擦!我们回顾下一个知识点,调用函数的时候,有个不可避免的成本,就是会需要保存函数用到的寄存器,弹出来后要恢复。这个是什么原因呢?因为在CPU这里,只有...
inline hook
04-29
Inline hook是一种常见的hook技术,它是指在程序运行时通过修改程序代码的方式来实现hook的目的。具体来说,当程序执行到某个函数时,inline hook会将原来的函数代码替换成hook函数的代码,从而实现对原函数的拦截和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值