绕过所有用户层HOOK

最新推荐文章于 2022-03-10 21:05:35 发布
最新推荐文章于 2022-03-10 21:05:35 发布
阅读量1k 收藏 1
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zang141588761/article/details/82972464
版权

A、分析API函数原理

   B、自写API函数

   C、SYSENTER指令

   D、硬编码_emit

   E、模拟FindWindow函数 

 

PUNICODE_STRING

MOV EAX,117A

7C92E510 >  8BD4            MOV EDX,ESP

7C92E512    0F34            SYSENTER

 

//取得RtlInitUnicodeString地址

    typedef   (__stdcall *PRtlInitUnicodeString)( PUNICODE_STRING , PCWSTR  );

    PRtlInitUnicodeString  RtlInitUnicodeString;

RtlInitUnicodeString=(PRtlInitUnicodeString)GetProcAddress(GetModuleHandle("ntdll.dll"),"RtlInitUnicodeString");

    //初始化PUNICODE_STRING字串结构 方法1

    //pname->Buffer= wName ;

    //pname->Length=wcslen(pname->Buffer)*2+1  ;

    //UnsafeModuleName.MaximumLength=0x0fff;

 

   //初始化PUNICODE_STRING字串结构 方法2

    RtlInitUnicodeString(pname,wName);

----------------------------------------------------------------------

//#include <windows.h>
#pragma pack(1)
typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;  
    PWSTR  Buffer; 
 
} UNICODE_STRING,*PUNICODE_STRING;
#pragma pack()
__declspec(naked)   void sysFastCall()
{
    __asm
    {
    //    7C92E510 >  8BD4          MOV EDX,ESP
    //7C92E512    0F34            SYSENTER
          mov edx,esp
        __emit 0x0f
        __emit 0x34
    }
}
/*
77D28285   .  FF75 18       PUSH DWORD PTR SS:[EBP+18]                    ;  0
77D28288   .  FF75 E8       PUSH DWORD PTR SS:[EBP-18]                    ;  PU_LCatipn
77D2828B   .  FF75 F8       PUSH DWORD PTR SS:[EBP-8]                     ;  NULL
77D2828E   .  FF75 0C       PUSH DWORD PTR SS:[EBP+C]                     ;  0
77D28291   .  FF75 08       PUSH DWORD PTR SS:[EBP+8]                     ;  0
77D28294   .  E8 13450000   CALL USER32.77D2C7AC                          ;  NtUserFindWindow


*/
__declspec(naked) HWND  __stdcall My_FindWindow(
                                               int p1,
                                               int p2,
                                               PUNICODE_STRING pu_classname,
                                               PUNICODE_STRING pu_catption,
                                               int p5)
{
    __asm 
    {
        MOV EAX,0x117A
        call sysFastCall
        RETN 0x14

    }
}
 

----------------------------------------------------------------------

 
#include <string.h>
 
/*
0012F628   10000000  ....  //hMod
0012F62C   0012F640  @?. //UnsafeModuleName
0012F630   00000000  ....//ThreadId
0012F634   00000002  ....//hookid =Wh_KeyBoard
0012F638   100010E0  ?..   GameDll.Gameproc //HookProc
0012F63C   00000002  .... //Ansi
0012F640   00660064  d.f.
0012F644   0012F678  x?.   UNICODE "I:\\VC_Code\\PassNP_Code\\MFC_EXE\\Release\\GameDll.dll"
DWORD tid=0;
HMODULE hdll=    LoadLibraryA("GameDll.dll");
HOOKPROC Gameproc=(HOOKPROC)GetProcAddress(hdll,"Gameproc");
    Nt_SetWindowsHookEx(WH_KEYBOARD,Gameproc,::GetModuleHandle("GameDll.dll"),tid);
    
      typedef struct _SetWindowsHookEx_Data
      {
      HINSTANCE hMod;
      PUNICODE_STRING UnsafeModuleName;
      DWORD ThreadId;
      int HookId;
      HOOKPROC HookProc;
      BOOL Ansi;
      
        }SetWindowsHookEx_Data;

*/

//#pragma pack(1)
typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength; 
    PWSTR  Buffer;     
} UNICODE_STRING,*PUNICODE_STRING;
//#pragma pack() 


__declspec(naked) void sysCall()
{

_asm
{
 
__emit   0x8B
__emit   0xD4 
__emit   0x0F 
__emit   0x34  
}
}


__declspec(naked) HHOOK __stdcall Nt_SetWindowsHookEx (HINSTANCE hMod, PUNICODE_STRING UnsafeModuleName, DWORD ThreadId, int HookId, HOOKPROC HookProc, BOOL Ansi)

{
     _asm
     {
         MOV EAX,0x1225
         call sysCall        
         retn 0x18
     } 
    
}


void My_SetWindowsHookEx()
{   //取得RtlInitUnicodeString地址
    typedef   (__stdcall *PRtlInitUnicodeString)( PUNICODE_STRING , PCWSTR  );
    PRtlInitUnicodeString  RtlInitUnicodeString;
    RtlInitUnicodeString=(PRtlInitUnicodeString)GetProcAddress(GetModuleHandle("ntdll.dll"),"RtlInitUnicodeString");
    //
    HINSTANCE hMod=LoadLibraryA("gamedll.dll");
    UNICODE_STRING UnsafeModuleName;
    PUNICODE_STRING pname=&UnsafeModuleName;
    DWORD ThreadId=0;
    int HookId=WH_KEYBOARD;
    HOOKPROC Gameproc=(HOOKPROC)GetProcAddress(hMod,"Gameproc");
    BOOL Ansi=2;
    //初始化UnsafeModuleName 字串
    WCHAR wName[256];
    char Fullpath[256];
    GetCurrentDirectory(256,Fullpath);
    strcat(Fullpath, "\\gamedll.dll");//Fullpath=Fullpath+"gamedll.dll";
    //把Fullpath 转换成 宽字符串
    MultiByteToWideChar (CP_ACP, 0, Fullpath, -1, wName, sizeof(wName)*2+1); 

    //初始化PUNICODE_STRING字串结构 方法1
    //pname->Buffer= wName ;
    //pname->Length=wcslen(pname->Buffer)*2+1  ;
    //UnsafeModuleName.MaximumLength=0x0fff;

       //初始化PUNICODE_STRING字串结构 方法2
    RtlInitUnicodeString(pname,wName);
    // hMod=GetModuleHandle("GameDll.dll");
    Nt_SetWindowsHookEx ( hMod,  &UnsafeModuleName,  ThreadId,  HookId,   Gameproc,  Ansi);
 
}
__declspec(naked) HWND __stdcall Nt_FindWindow (int p1,int p2,PUNICODE_STRING p3_ClassName,PUNICODE_STRING p4_Caption, int p5) 
{


    __asm
    {
        mov eax,0x117a //NtUserFindWindowEx
        call sysCall 
        retn 0x14
    }
}

小蚂蚁_CrkRes
关注
专栏目录
自实现API绕过用户HOOK
挖树
03-20 965
开始正文,用NtReadVirtualMemory函数做例子 0.获取自实现函数地址 如果是自己写的函数,那就把你写入的空间首地址整过来 如果是系统自带内核函数,直接使用windbg: 就可以获得函数地址! 1.然后将该函数地址放置在第一个系统服务表的尾部 因为上图有0x11C个函数,所以我们要填充在0x11d处(尾部) 2.将函数个数+1 3.,接下来去修改函数参数字节个数表 因为原本...
自实现API, 过所有用户HOOK
收集学习过程中对自己有帮助的牛人文章
12-10 1687
//绕过用户HOOK,自实现API函数 //学习了郁金香驱动教学视频 043_绕过所有用户HOOK(郁金香绕过的是FindWindow) //用相同的原理我实现了绕过SendMessageA() //实现过程中有一些感谢一并记录 //win xp x86 //__declspec(naked)作用: 生成纯汇编 #include #include //7C92E4F0 > 8BD4
用户HOOK思路
weixin_34418883的博客
06-01 113
以FindWinow为例,首先逆向FindWindow,分析写出下面代码 #pragma pack(1)typedef struct _UNICODE_STRING {    USHORT Length;    USHORT MaximumLength;      PWSTR  Buffer;  } UNICODE_STRING,*PUNICODE_STRING;#pragma pack() ...
利用 HookZz 实现反调试与绕过的奇淫技巧
pilgrim1385的专栏
11-29 3325
地址:https://bbs.pediy.com/thread-220795.htm 任何带特征的检测都是不安全的 & 隐而不发(Ouroboros) Move to AntiDebugBypass on github 代码依赖于 HookZz, 一个 hook 框架 ## 前言 对于应用安全甲方一般会在这三个方面做防御. 按逻辑分类的话应该应该分为这几类, 但如果从实
自写API绕过R3下所有HOOK
huobengle
11-09 904
拿FindWindow来做测试,先OD跟一下HWND hWnd=::FindWindow(_T("SciCalc"),_T("计算器")); ::SendMessage(hWnd,WM_CLOSE,NULL,NULL);为了方便分析参数,给FindWindow也传递了类名。 OD载入,bp FindWindowW,运行后断下来,来到FindWindowW里面77D2C9C5 55 ...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
在本文中,我们将深入探讨如何利用SSDT来对抗ring0级别的inline hook,并通过这种方式绕过这种类型的hook。 首先,我们要理解ring0 inline hook的概念。在x86/x64架构的CPU中,操作系统运行在ring0特权级别,这是...
Android Hook 技术之 绕过系统对Activity验证
07-18
这篇内容将深入探讨如何利用Hook技术绕过系统对Activity的验证,实现SDK热更新的目的。 首先,我们需要理解Activity在Android系统中的地位。Activity是Android应用程序的基本组件,它负责用户界面的展示和用户交互...
绕过ring3下inline hook
03-19
本文将详细讨论如何在Ring3环境下绕过inline hook,同时参考提供的Delphi源码进行分析。 首先,了解inline hook的工作原理。它通常是通过替换目标函数入口点的几条指令,将控制流导向hook函数,执行完hook代码后再...
net_user_tools_bypass_hook_net.exe:绕过net监控小工具集
04-24
标题 "net_user_tools_bypass_hook_net.exe: 绕过net监控小工具集" 提供了我们正在探讨的主题,即一个专门设计用来规避网络监控的小工具集合。这个工具集可能包含了各种技术,帮助用户在被监控的网络环境中隐藏或...
C# 优雅的实现ApiHook
记事本
09-21 2650
全部源码下载:https://download.csdn.net/download/vblegend_2013/10680642  通过继承NtAPIHook&lt;泛型委托&gt; 定义API ,并提供绕过Hook的源函数Origin委托 此模块支持 32位和64位   Hook处理类 using System; using System.Runtime.InteropService...
WPF自定义控件——顶级控件
weixin_30892037的博客
12-25 630
作为一个WPF程序员,我最希望看到的是WPF的应用,或者更确切的说是绚丽的应用,虽然限于自身的实力还不能拿出成绩来,但看到别人的作品时,心里还是有很大的宽慰——WPF是可以做出更加动人地产品的,只要你坚定的走下去,带着不满现状的追求走下去。 下图是Telerik的WPF控件,我相信很多人也下过他的DEMO,研究过他的代码,并由此激起对WPF的信心。今天我们就来仿造他的Drag...
movWindow
anhaiyang的专栏
04-12 484
这是一个移动窗口并可以改变窗口大小的指令,movwindow(a,b,c,d,e,f)其中第一个参数a,指示所要移动窗口的指针,。。。。。。。b,c将来窗口左上角的位置,a表left,b表top。。。。。。。。d,e是将来窗口的大小, 。。。。。。。。。f有两种形式,ture呵falase,其中ture为重绘指令,
寒假捉虫记——从一段损坏的调用栈开始折腾
纸箱猪的专栏
02-18 4360
放假在家,继续调试《家园》。目前的进度是MinGW上的编译链接都已通过,游戏程序也已经可以跑起来并进入主菜单界面,但加载关卡之后就会闪退。这让我想起了以前上中学时玩盗版游戏的日子。那个年代的单机游戏估计大多是用C/C++写的,一个不小心的内存操作就会让进程崩掉;而且那个年代的操作系统没现在稳定,可能破解技术也不够先进,从电脑城里买来的五六块钱的盗版游戏质量参差不齐。很多游戏跑着跑着就闪退,有的甚至
C# Hook原理及EasyHook简易教程
weixin_30701521的博客
03-11 1180
前言   在说C# Hook之前,我们先来说说什么是Hook技术。相信大家都接触过外挂,不管是修改游戏客户端的也好,盗取密码的也罢,它们都是如何实现的呢?   实际上,Windows平台是基于事件驱动机制的,整个系统都是通过消息的传递来实现的。当进程有响应时(包括响应鼠标和键盘事件),则Windows会向应用程序发送一个消息给应用程序的消息队列,应用程序进而从消息队列中取出消息并发送给相应窗口...
用户下API的逆向分析及重构
hongduilanjun的博客
03-10 956
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
HOOK与注入
weixin_43781139的博客
07-21 4595
HOOK和注入技术经常被恶意代码使用。利用HOOK和注入技术,恶意代码提高了执行隐蔽性,增加了恶意代码分析难度,在某些情况下还能实现权限提升和内存常驻。 HOOK技术 挂钩(HOOK)就是在来往信息间安装“钩子”,钩取来往信息。 在用户,常见的Hook技术有: ①消息钩子 ②Inline Hook ③IAT Hook 消息钩子 原理: 用户对应用程序的各种操作(eg:键盘输入、点击、移动等)都会产生事件;发生事件时,操作系统会把该事件对应的消息发送给相应的应用程序,应用程序分析收到的信息后执行相应的动作。
自写Api过r3的Api函数hook
被遗弃的庸才博客
08-13 945
这里验证的环境是win7 64位和win10 64位 首先是64位程序,这里由于win7和win10的调用号不同,需要根据所使用的系统修改相应的调用号,顺带说明一下win64的vs程序是不支持内联汇编,这里是我自己下载的intel的parallel studio使得vs支持了内联汇编。 #include<windows.h> /*------------------------...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值