hook API系列---理解内核hook

最新推荐文章于 2023-09-21 19:27:32 发布
最新推荐文章于 2023-09-21 19:27:32 发布
阅读量1.2k 收藏 4
点赞数
文章标签: hook api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaod_sh/article/details/3907609
版权

hook分为应用层hook 和内核级hook, 应用层的hook在这里不做讨论。

 

内核级的hook分为

1. ssdt  hook

2. inline hook

 

 

关于这两种hook举个比较形象的例子。

 

 

假如我是第一次进入A2大楼去财务科找小赵办手续, 在A2门口有一张大楼位置表 写着: 321 : 财务科

 

我的办事顺序是:

 

1. 去位置表中找到财务科的位置321

2. 去财务科找小赵办手续。

 

而ssdt hook 是在位置表中修改了财务科的位置: 234 : 财务科 (希望用户进入的位置)

 

inline hook 是把财务科的小赵换成了 小李。

 

所以inlinehook 更加的深层次。。。。。

zhaod_sh
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动内核模式下的apihook钩子例子,编写驱动程序.zip
03-28
驱动内核模式下的apihook例子,编写驱动程序.zip
网络靶场实战-安全开发之应用层Hook技术
蛇矛实验室
12-13 426
IAT(import address table,导入地址表)是指PE文件格式中的一个表结构,说到IAT就离不开导入表,在实际的开发过程中,难免会使用到Windows API,这些API的代码保存在Windows提供的不同的DLL(动态链接库)文件中,DLL将这些API导出,在可执行程序中使用到其他DLL的代码或数据时,编译器会将这些导入的信息填充到可执行程序的导入表中。由于VEH的异常处理发生在之前,所以通过`主动抛出异常,使程序触发异常,进而使控制权交给异常处理例程的这一系列操作来实现Hook
内核HOOK的几种实现与应用
ljtt的专栏
06-24 1087
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们 添加文章 English Version  文章分类  专题文章 漏洞分析 安全配置 黑客教学 编程技术 工具介绍 火墙技术 入侵检测 破解专题 焦点公告 焦点峰会  文章推荐  LSD RPC 溢出漏洞之分析 任意用户模式下执行 ring 0 代码 IIS的NSIISLOG.
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
必备绝技——hook大法(中)
04-26 1559
 【文章标题】: 必备绝技——hook大法( 中 )【文章作者】: LvG【作者邮箱】: LvG2008@gmail.com【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!--------------------------------------------------------------------------------【详细过程】  这次主要说说核心层的hook。包
API-HOOK1.rar_hook
09-19
在Windows操作系统中,常见的API Hook技术包括SetWindowsHookEx(用户模式)和SetKernelObjectHook内核模式)。 C#中实现API Hook的一种方法是使用第三方库,如EasyHook或者Detours(尽管Detours主要为C++设计,...
易语言APIHOOK例程源码-易语言
06-13
2. **API Hook的实现方式**:APIHOOK有多种实现方式,包括但不限于SetWindowsHookEx函数(用户模式)、Detour库(用户和内核模式)以及使用DLL注入技术。在易语言中,可能使用的是类似的方法,通过对API地址的动态...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hook,IDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook内核驱动层的SSDT(System Service Dispatch Table)Hook、IDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
总的来说,"内核模式的apihook.zip"包含了一个内核API Hook的示例,这为我们提供了一个研究和学习内核Hook技术的平台。通过对"KernelApiSpy"的分析和实验,我们可以更深入地理解内核Hook的工作原理和实现方法,这...
易语言Hook演示源码-易语言
06-13
在Windows环境下,Hook可以分为两种类型:用户模式Hook内核模式Hook。用户模式Hook主要用于拦截用户级的函数调用,而内核模式Hook则能在更底层操作,如系统调用。易语言中的Hook主要涉及用户模式,因为它主要应用...
Rootkit---HOOK内核驱动
q759451733的博客
04-16 1305
当插入一个内核驱动时,一般会使用工具insmod,该工具实际上调用了系统调用init_module,在该系统调用函数中,首先调用 load_module,把用户空间传入的整个内核模块文件创建成一个内核模块,返回一个struct module结构体。内核中便以这个结构体代表这个内核模块。 init_module系统调用定义,可以看到主要是调用了load_module。 在load_module中,主要prepare_coming_module,准备将内核模块进行加载。 prepare_coming_mo
[转载]内核级利用通用Hook函数方法检测进程
05-14 701
内核级利用通用Hook函数方法检测进程作者:    LionD8QQ:    10415468Email: LionD8@126.comBlog:    http://blog.csdn.net/LionD8     or http://liond8.126.com介绍通用Hook的一点思想:    在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问了
Hook技术(二)对系统服务Hook
我叫王菜鸟
03-12 965
上一次,我们用Hook技术对startActivity进行了操作。我们这一届继续Hook一些比较深入的东西。更加深入的理解Hook。 通过上一次,我们小结,Hook就是用我们的代理去替换原本的服务,然后达到拓展的目的,甚至改变原有服务的目的。那我们今天就尝试改变系统剪贴板。要想改变系统剪贴板,我们就得了解剪贴板服务最基本的流程,从而我们好控制系统剪贴板的Hook点在哪里。 剪贴板服务的基...
[内核安全6]内核态Rootkit之GDT Hook
輚至消亡
12-24 501
1. 导言 GDT Hook的原理是通过修改GDT全局描述符表来达到挂钩的目的。GDT表的概念可以看下:IDT Hook 整个GDT Hook的原理可以归纳为如下图。 2. 代码段区分 代码段分为两种: 一致代码段 非一致代码段 数据段属于非一致代码段 首先不管一致还是非一致,同特权级代码段之间互访都是允许的。在者永远不能由高特权级代码段访问低特权级代码段,这是不允许的!因为操作系统不会允许用高特权级来访问不安全的代码。有一种情况例外就是数据段,数据段可以被更高级的
Linux内核开发之hook系统调用
最新发布
qq_26962739的博客
09-21 673
本文将讨论如何hook Linux系统调用,教你如何获取系统调用表的地址以及如何利用它来实现几乎所有你想做的事情。
win64 内核hook API
不会写代码的丝丽
03-12 681
除了 SSDT hook和Inline hook外,内核还提供其他官方的API方便我们进行hook操作从而完成一些安全软件的研发等。举例其中以下API函数两个函数都是用于注册一个回调监听进程的创建或者退出时调用,不同的是EX后缀函数不仅可以监听而且还可以控制创建的进程结果。参数说明: 回调函数Remove: 如果为TRUE ,从系统回调表中删除回调函数的注册。FALSE为注册函数到回调函数表中。
linux内核hook方式
faxiang1230的专栏
07-02 1547
翻译:https://www.apriorit.com/dev-blog/544-hooking-linux-functions-1 我们最近在开展linux系统上安全相关的工作,在上面我们需要hook内核中重要的函数调用,例如打开文件、创建进程。 我们需要这样一个项目来监控系统的活动并且阻塞可疑的进程。 实际上,最后我们采用了一种高效的方式来hook系统,借助于ftrace系统,可以通过函数...
linux内核hook模块
faxiang1230的专栏
12-03 3738
linux内核支持动态加载module,今天不聊正常的module,只简单看一下实现Hook的module. hook通常翻译做劫持,不过这个翻译听起来让人不舒服,感觉有点恐怖,所以大家都是喊行话:hook. 上图是经典的堆栈式hook,也是splice典型的做法,在原有的流程中插入hook,更加典型的做法是栈在调用过程中从funcA->funcB变成了funcA->hook-&gt...
驱动开发:内核层InlineHook挂钩函数
CSDN
10-31 9464
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
Windows Hook技术详解:从原理到应用
Hook根据实现原理可分为API Hook和消息Hook,按作用范围分为全局Hook和局部Hook,按权限分为应用层Hook内核HookHook技术在安全领域有广泛应用,如杀毒软件的主动防御、恶意软件的键盘监控以及系统和应用的热...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值