Hook :Inline Hook学习资料以及总结问题

最新推荐文章于 2024-05-16 13:11:26 发布
最新推荐文章于 2024-05-16 13:11:26 发布
阅读量1k 收藏 2
点赞数
分类专栏: Hook

HOOK的学习掌握,Open process方面的函数编写-
_declspec用法    http://wenku.baidu.com/view/61232f0b79563c1ec5da719f.html
jmp机器码:0xE9是相对偏移操作,0xFF是绝对偏移,0xE8 是call,
汇编语言里 eax, ebx, ecx, edx, esi, edi, ebp, esp    http://blog.csdn.net/liquanhai/article/details/5479141
有关cr0的一点记录    http://nokyo.blogbus.com/logs/36616151.html
Ring0 和 Ring3    http://zhidao.baidu.com/question/3121765.html?qbl=relate_question_1
cli/sti 用法      http://hi.baidu.com/medici888/item/cac94ea86fe4ea716dd455e2
RtlCopyMemory , RtlMoveMemory , KeLowerIrql  , KeRaiseIrqlToDpcLevel
MmGetSystemRoutineAddress获取不到函数地址      http://bbs.pediy.com/archive/index.php?t-136182.html
KeInitializeApc,KeInsertQueueApc 谈谈对APC的一点理解    http://hi.baidu.com/combojiang/item/200b7b10337ee3e15e53b13a
windbg调试命令8(bp、bu、bm、bl、bc、ba、be、bd)    http://www.cnblogs.com/guanlaiy/archive/2012/12/21/2827391.html
JMP FAR 0008:AAAAAAAA    http://www.m5home.com/bbs/thread-4351-1-1.html

钩子(HOOK)函数教程(一)   http://www.zdexe.com/program/list_2.html    http://www.zdexe.com/program/201004/575.html
Hook与IoCallDriver与IofCallDriver        http://blog.csdn.net/fengkuangfj/article/details/8650016
HOOK函数的用法&&&&&经典的例子实现过程    http://bbs.csdn.net/topics/1648
NtOpenProcess inline hook    http://www.m5home.com/bbs/thread-4351-1-1.html
【求助】hook NtOpenProcess出现的诡异问题      http://bbs.pediy.com/archive/index.php?t-63322.html
过NtOpenProcess保护的方法总结      http://blog.csdn.net/jepco1/article/details/5531449
inline hook 深层call ObOpenObjectByPointe的实现及用SSDT反HOOK   http://www.cnblogs.com/Jesses/archive/2010/01/05/1639838.html

自己的第一个Native Api Inline Hook (Hook NtOpenProcess)  http://hi.baidu.com/wakaka_wka/item/ab3640e78d1189f72b09a4f0
inline hook简介    http://hi.baidu.com/taozpwater/item/9b59d88eb51e168e4514cf56
http://bbs.pediy.com/archive/index.php?t-63322.html   形象的解释
http://bbs.pediy.com/showthread.php?t=126802    大神多个实际案例分析源码

InLine HOOK入门级菜鸟解读     http://blog.chinaunix.net/uid-8478094-id-2031160.html
Inline Hook 之(监视任意函数)   http://blog.csdn.net/masefee/article/details/6326634
 【原创】散谈游戏保护那点事~就从_TP开始入手吧    http://bbs.pediy.com/showthread.php?t=126802  
我想大家自己多花点时间在【看雪】和GOOGLE或者BAIDU上面是不会吃亏的



调试日志 
http://blog.csdn.net/chenyujing1234/article/details/7743460   
http://www.cnblogs.com/guanlaiy/archive/2012/12/21/2827391.html
http://chenkegarfield.blog.163.com/blog/static/62330008201192133625734/


问题:
1:MmGetSystemRoutineAddress,家经常忽视的,就是有些函数并没有导出。也就是说在PE的导出表里没有记录。而此函数的原理就是去导出表里找。很明显会失败
2:for(i = 0; i < 100; i ++)为啥就肯定在100以内找呢
3:0xE8, 0xcc, 0x29, 0x00, 0x00 是什么
4:Addr_KiInsertQueueApc = (ULONG)&Addr_KeInsertQueueApc + 0x29cc + 5; 
5:myjmp_code[5]={0xE9,0x00,0x00,0x00,0x00};   0XE9是什么
6:最大的问题就是一定要使用myjmp_code[7]={0xE9,0x00,0x00,0x00,0x00,0x08,0x00}; !!!!!!!!!!!!!!!!!!!!!!!!!!否则会出现蓝屏

zhou191954
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hook NtOpenProcess
07-21
Hook NtOpenProcess 描述字数补丁
HOOK ntopenprocess
qq_41071646的博客
01-06 1024
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...
hook(1)入门篇
最新发布
2401_84407867的博客
05-16 368
感觉现在好多人都在说什么安卓快凉了,工作越来越难找了。又是说什么程序员中年危机啥的,为啥我这年近30的老农根本没有这种感觉,反倒觉得那些贩卖焦虑的都是瞎j8扯谈。当然,职业危机意识确实是要有的,但根本没到那种草木皆兵的地步好吗?Android凉了都是弱者的借口和说辞。虽然 Android 没有前几年火热了,已经过去了会四大组件就能找到高薪职位的时代了。
[驱动开发] 手写 r0 hookNtOpenProcess 为例)
LYSM
11-09 1398
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 878
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
通过这个Inline Hook插件,你可以学习到如何在x86和x64环境下实现Inline Hook,理解其原理并掌握在实际项目中应用这一技术的方法。对于计算机科学和软件工程的学生,以及从事逆向工程和安全研究的专业人士来说,这是...
APIHook.rar_hook_inline
09-14
APIHook.rar_hook_inline是一个关于API Hook技术的压缩包,特别是关注于内联Hook(Inline Hook)的实现。API Hook是一种技术,它允许开发者在特定的API调用前后插入自定义的代码,以便监控、修改或者控制函数的行为。...
如何区分ssdt hookinline hook钩子
01-25
3. "inline HOOK和SSDT HOOK各自有啥特性的哦-_百度知道":这是一个问答平台上的问题,可能包含了两者之间的特性对比和讨论。 4. "2 inline hook" 和 "1 ssdt hook":这两个文件名可能是其他相关的文档或教程,可能...
Android_InlineHook:Android内联hook框架
04-15
自实现inline hook 因为以上的问题,目前/或者之前用过的一些hook框架或多或少都有些较大的bug(hookzz之前的某个版本应该是可以的),而对其进行修复成本较高,还不如自己写一个。 首先统一一些概念。把覆盖被hook...
文件IO-HOOK_inlinehook_
10-03
inlineHook 的模板,可以更加快速调用,如果不能正常解压,请将后缀修改为zip
进程保护原理Hook函数Openprocess
Fly20141201. 的专栏
11-10 7611
Win32子系统:                                                                                                                                                                Win32是Windows的一个子系统,还有另外的子系统
ssdkhookntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 892
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
32位/64位WINDOWS驱动之 遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
a756598009的博客
01-21 1005
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程学院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)
HOOK NtOpenProcess 保护指定进程
laobobo999的专栏
05-25 807
 汇编写的一个简单的HOOK SSDT例子
inlinehook_ssdt的ntopenkey函数的任意位置
02-01 864
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceTable
SSDT HOOK,通过hook NtOpenProcess达到保护制定进程效果
huangai93的专栏
06-07 879
SSDT hook技术是一种很老的技术了,但是作为新手还是有必要知道和学习的
内核编程之SSDTHook(2)Hook NtOpenProcess实现进程保护
zuishikonghuan的博客
03-11 7419
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 上一篇博文“内核编程之SSDTHook(1)原理(地址:)”中,介绍了SSDTHook的原理,这一篇博文,我们来写一个实例,通过Hook NtOpenProcess来的实现进程保护。 我之前写过两篇Ring3下的API Inline Hook的博文,这两篇博文通过Inline
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2091
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
深入解析内核 Inline Hook 实现
"详谈内核的Inline Hook实现" 本文深入探讨了内核级Inline Hook的原理和实现,Inline Hook是...通过本文的学习,读者可以更好地掌握Inline Hook的原理和实现方法,从而在需要控制或拦截内核函数行为的场景中游刃有余。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值