劫持系统函数system

已于 2023-05-26 09:36:20 修改
阅读量559 收藏 1
点赞数
分类专栏: C进阶 文章标签: 劫持系统函数 C数据结构
于 2015-08-08 00:27:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouruifu2015/article/details/47348855
版权 
#include "detours.h"
#pragma comment(lib,"detours.lib")
int(*poldsystem)(const char *_Command) = system;
int newsystem(const char*_Command)
{
 	printf("你执行的是:%s\n", _Command);
 	poldsystem(_Command);
	char *p = strstr(_Command, "notepad");
	if (NULL==p)
	{
		printf("安全的,运行通过!\n");
		poldsystem(_Command);
	} 
	else
	{
		printf("发现威胁,已被成功处理,禁止通过!\n");
	}
}
void hook()
{
	DetourRestoreAfterWith();//恢复之前状态   避免反复拦截
	DetourTransactionBegin();//开始劫持
	DetourUpdateThread(GetCurrentThread());//刷新当前线程
	DetourAttach((void**)&poldsystem, newsystem);//拦截
	DetourTransactionCommit();//立即生效
}
void main()
{
	system("mspaint");
	hook();
	system("notepad");
	printf("\n开始拦截:\n");
	system("notepad");
	system("title 黑鹰's-Blog");
	system("notepad");
	system("calc");
	system("notepad");
	getchar();
}

 

更多资料 · 微信公众号搜索【CTO Plus】关注后,获取更多,我们一起学习交流。

关于公众号的描述访问如下链接

关于Articulate“做一个知识和技术的搬运工。做一个终身学习的爱好者。做一个有深度和广度的技术圈。”一直以来都想把专业领域的技https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q

SteveRocket
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
【C/C++】劫持技术
linchaolong的专栏
02-28 7929
劫持 劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。 函数是放在内存中的代码区,所以劫持与代码区密切相关。 实现劫持需要使用detours。 detours detours是微软亚洲研究院出口的信息安全产品,主要用于劫持。这个工具使用C语言实现,所以是跨平台的。 detours根据函数指针改变函数的行为,可以拦截任何函数,即使操作系
劫持系统函数Demo
热门推荐
WaltonWang's Blog
12-30 1万+
以下内容是劫持glib.c中标准printf函数的方法。是这篇 Docker容器内的监控命令数据修正思路的基础知识。对LD_PRELOAD熟悉可以不看。
劫持原理通过c实现,对系统函数system的劫持
11-14
使用c语言,实现对系统函数system的劫持,按照代码逻辑,可自行实现对其他函数劫持,怎么弄成免费下载啊,是系统自己设置成5积分下载的,不是我免费共享的初衷。
windows-API劫持(API-HOOK)
墨鱼菜鸡
12-18 406
API Hook ApiHook又叫做API劫持,也就是如果A程序调用了B.cll里面的C函数,我们可以做到当A调用C函数执行的时候,直接执行我们自己事先准备好的函数,之后我们在执行真正的C,当然我们可以不执行C或者更改C的参数等等,实现的核心思路就是: ...
Windows x86/x64 动态库劫持
如人饮水冷暖自知
03-15 3155
从调用约定开始简述x64动态库劫持技术,并通过AheadLib实现对x64架构下动态库的劫持,以及如何在目标函数调用前后记录传递的参数和返回值。 原文:论Windows x64下动态库劫持技术
LD_PRELOAD劫持
weixin_63231007的博客
12-24 2613
有趣的 LD_PRELOAD
易语言系统驱动服务源码-易语言
06-13
"SSDT Shadow Hook"是系统驱动技术中的一种常见方法,通过挂钩(Hook)SSDT,可以劫持或监视系统调用,达到调试、安全防护或者恶意软件目的。在易语言中实现SSDT Shadow Hook,开发者需要理解和掌握相关的API调用...
在LINUX内核中添加系统调用
04-16
然后,在`/usr/include/asm/unistd.h`中为新系统调用分配一个唯一的调用号,以便内核在执行时能找到对应的处理函数。 完成上述步骤后,需要重新编译内核。在编译前,可能需要根据实际环境调整内核配置,例如启用...
PHP突破disable_functions常用姿势以及使用Fuzz挖掘含内部系统调用的函数1
08-03
在Unix系统中,`LD_PRELOAD`是一个环境变量,可以用来在程序运行时覆盖默认的动态链接库,从而实现对特定函数劫持。攻击者可以通过创建一个恶意的动态链接库(`.so`文件),并利用`LD_PRELOAD`将其加载到目标程序...
PHP中的危险函数全解析.rar
07-09
1. `exec()`、`shell_exec()` 和 `system()`: 这些函数允许执行操作系统命令,如果输入未经验证,可能导致命令注入攻击。例如,恶意用户可以通过注入恶意命令来控制服务器。 2. `passthru()`: 类似于`system()`,但...
劫持系统IpHlpApi.dll.zip
08-06
劫持系统IpHlpApi.dll.zip----------------------------------------
xp画图软件工具mspaint.exexp系统自带画图软件工具
07-29
本站提供画图工具下载,此画图工具是windows XP系统中自带的画图软件mspaint.exe,需要的朋友们可以前来下载使用。 xp自带画图软件工具下载: C:\WINDOWS\system32 mspaint.exe(画图) mshearts.exe(红心大战) PINBALL.EXE(三维弹球) winmine.exe(扫雷) sol.exe(纸牌) 等!!! 你也可以在开始-运行-输入如
用汇编写的病毒的原理
03-24 7760
如何写一个简单的病毒程序      作者浑浑噩噩        转载请注明出处:http://www.czvc.com       引:前些天学病毒这门技术着实吃了很多苦头,走了很多弯路,尽管按我的知识水平,病毒已经是水到渠成的学习内容了。但是我现在学了入门才发现这门技术实际上隐藏着很多玄机,包含着许多技术,不专门学习研究根本无法达到“牛”的境界上去。如今写了这篇文章,介绍的都是相当实用的东西,可
劫持系统调用
罗布泊coding
01-28 933
HOOK(劫持) API的思路就是修改原API的入口,使其跳转到我们的假API入口, 然后执行我们的假API函数,为什么说是假API函数呢? 因为我们的假API,除了函数名称和真实API的名称不一样之外,其它都是相同的,即 它们的函数参数和返回值和调用形式都是一样的。 下面举例说明如何hook系统调用或者c语言中的库函数。 #include #include v
Asp.net安全架构之2:Session hijacking(会话劫持
weixin_34121304的博客
05-30 256
原理 会话劫持是指通过非常规手段,来得到合法用户在客户端和服务器段进行交互的特征值(一般为sessionid),然后伪造请求,去访问授权用户的数据。 获取特征值的非常规有段主要有如下几种: 首先是猜测的方式,如果我们的sessionid的生成是有规律的,那么使用猜测的方式就可以到达非法获取的目的,如图所示:   其次是session fixation攻击。session fixation...
0x02 嵌入式---劫持系统调用函数进行文件隐藏
q759451733的博客
10-30 225
寻找内核内存中系统调用表的内存地址sys_call_table ,调换该内存中某个函数地址 通过部分系统文件 :more /boot/System.map-4.15.0-66-generic (4.15.0-66-generic是内核版本,可以通过uname -r查看) asmlinkage long (*real_mkdir)(const char __user *pathname,umo...
解决web系统session劫持
Just do it!
06-25 2262
session劫持是一种比较复杂的攻击方法。大部分互联网上的电脑多存在被攻击的危险。这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持 可能。 两台主机要想进行TCP通信,必须经过一个三次握手的过程。三次握手过程中服务端和客户端一般会协商一个序列号。这个序列号一般是一个长整数。用来标记 每个数据包本来的顺序。服务端或者客户端使用这个序列号来重组在网络传输过程中乱序了的数据包。服...
HOOK劫持自己
weixin_30684743的博客
01-02 150
#include <stdio.h> #include <stdlib.h> #include <Windows.h> #include "detours.h" #pragma comment(lib,"detours.lib")//包含库文件 int (*poldsystem)(const char * _Command) = system;...
linux劫持内核函数,Linux系统内核劫持方法分析
最新发布
06-09
2. System call table hijacking:系统调用表劫持是一种比Hooking更为高级的内核函数劫持方法。它通过修改系统调用表中的函数指针,将目标函数指向攻击者自己编写的代码。这种方法需要攻击者有足够的Linux内核编程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SteveRocket

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值