Ring3 下 API Inline Hook 优化方案探索与实现

最新推荐文章于 2023-07-12 10:51:12 发布
最新推荐文章于 2023-07-12 10:51:12 发布
阅读量7.3k 收藏 10
点赞数 3
分类专栏: Win32SDK 文章标签: win32 apihook 64位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuishikonghuan/article/details/51302024
版权

本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/51302024

以前写过两篇“[Win32] API Hook(1)在32/64位系统上的实现”博客,介绍并给出了 API inline hook 代码,如下:
blog.csdn.net/zuishikonghuan/article/details/47976067
blog.csdn.net/zuishikonghuan/article/details/47979603
在这两篇博文中,我简要说了API inline hook的缺陷:

API inline hook的方法是修改API函数的前几个字节,让这几个字节执行无条件跳转指令,跳转到我们自己的函数里,这时候我们就可以根据参数进行一些判断,如果我们愿意放行,还可以恢复函数的前几字节并重新调用原函数,不愿意放行,就直接返回错误,Ring3级的进程保护就是这样实现的。
API inline hook在16位的系统上确实可以非常正常的工作,因为16位系统是单任务的!而如果是在32位的多任务抢占式操作系统上,系统可能会随时切换线程上下文,如果我们刚把函数前几个字节恢复了,系统突然把线程切换到了另一个线程,而那个线程又无巧不成书的调用了我们hook的这个函数,那么后果就是,出现了漏网之鱼!
而IAThook可以克服这个问题,但是IAThook的缺陷更是灾难性的!因为IAThook是通过修改导入地址表实现的,如果动态调用API,IAThook根本无法拦截。

当时我说这是一个小瑕疵,是的,在一些老系统(例如XP)上的确可以算是比较好的工作,但是现在看来,这个问题已经非常严重了,在Win8、8.1、10系统上,如果在explorer里Hook,会造成explorer特别容易崩溃!!(特别是 Hook NT Native API)

我希望找到新的解决方案,IAT HOOK 首先被否决了,因为 IAT HOOK 拦截不住 API 动态调用,在 Ring 0 中 Hook 更是行不通,因为在 amd64 平台上是有驱动程序强制签名的,买签名是很贵的,而且还不能干坏事。

那么我们就要认命吗?

于是我试图从 Inline Hook 的实现方法上找原因,这是我写的 Inline Hook 代码(x86 和 amd 64)

没错,原理就是修改要 Hook 函数的前几个字节,问题关键就在于,如何能避免还原时恢复函数的这几个字节呢?

        //进行 Inline Hook
        HMODULE hdll = LoadLibrary(TEXT("kernel32.dll"));
        addr = GetProcAddress(hdll, "OpenProcess");
        if (addr){
#ifdef _M_IX86
            code[0] = 0xe9;
            aint a = (aint)MyOpenProcess - (aint)addr - 5;
            RtlMoveMemory(code + 1, &a, 4);

            DWORD old;
            if (VirtualProtectEx(GetCurrentProcess(), addr, 5, PAGE_EXECUTE_READWRITE, &old)){
                RtlMoveMemory(oldcode, addr, 5);
                WriteProcessMemory(GetCurrentProcess(), addr, code, 5, NULL);
                VirtualProtectEx(GetCurrentProcess(), addr, 5, old, &old);
            }
#elif _M_X64
            code[0] = 0x48;
            code[1] = 0xB8;
            code[10] = 0x50;
            code[11] = 0xC3;
            aint a = (aint)MyOpenProcess;
            RtlMoveMemory(code + 2, &a, 8);

            DWORD old;
            if (VirtualProtectEx(GetCurrentProcess(), addr, 12, PAGE_EXECUTE_READWRITE, &old)){
                RtlMoveMemory(oldcode, addr, 12);
                WriteProcessMemory(GetCurrentProcess(), addr, code, 12, NULL);
                VirtualProtectEx(GetCurrentProcess(), addr, 12, old, &old);
            }
#endif
        }
最低0.47元/天 解锁文章
zuishikonghuan
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
简述API HOOK技术及原理
bing1564的博客
05-01 2162
我们观察内核代码的时候,很多时候一些函数调用都初始化的时候设置成回调函数的,例如上一个例子读取文件目录,那么proc有自己独有的读取目录处理函数,相对于的ext4、ceph、hpfs等等文件系统都有自己的处理函数,那么getdents的时候如何能调用到正确的处理函数呢?而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数又使用各自对应的结构体来初始化后续的调用函数。
Inline Hook
weixin_44711063的博客
03-11 2676
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hookinline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
C#实现Hook功能详解
u014659211的专栏
05-27 3740
发布一个自己写的用于Hook .Net方法的类库,代码量不大,完全的C#代码实现,是一个比较有趣的功能,分享出来希望能和大家共同探讨 安装:Install-Package DotNetDetour 源码:http://xiazai.jb51.net/201701/yuanma/DotNetDetour_jb51.rar 1.为何想做这个 说到hook大家都应该不陌生,就是改变函数的执行流程,让本应该执行的函数跑到另一个函数中执行,这是个很有用也很有趣的功能(例如获取函数参数信息,改变函数执行流程,计
API钩取技术研究(一)—— IAT Hook
最新发布
m0_55220082的博客
07-12 676
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
C/C++:Windows编程—Inline Hook内联钩子(上)
重庆李四
06-10 4378
前言 先介绍下Windows中的Hook技术。Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。Windows中的Hook技术的方法较多,常见的有Inline Hook、IAT Hook、EAT Hook ...
Inline Hook(ring3)的简单C++实现方法
09-04
Ring3级别,这意味着Inline Hook在用户模式下进行,这在Windows系统中是常见的实践。本文将详细探讨如何使用C++来实现一个简单的Inline Hook。 首先,我们需要理解Inline Hook的基本原理。Inline Hook通常涉及到...
绕过ring3inline hook
03-19
本文将详细讨论如何在Ring3环境下绕过inline hook,同时参考提供的Delphi源码进行分析。 首先,了解inline hook的工作原理。它通常是通过替换目标函数入口点的几条指令,将控制流导向hook函数,执行完hook代码后再...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
在本文中,我们将深入探讨如何利用SSDT来对抗ring0级别的inline hook,并通过这种方式绕过这种类型的hook。 首先,我们要理解ring0 inline hook的概念。在x86/x64架构的CPU中,操作系统运行在ring0特权级别,这是...
InLineHook.zip_钩子与API截获_Visual_C++_
08-11
基于ring3inline hook源码,使用VC6.0开发,是初学者的好的教程。
Windows Inline Hook Demo
12-16
Ring0级别,Inline Hook常用于监控或修改系统关键函数的行为,例如控制设备驱动、优化系统性能或进行恶意活动。 在Windows中,实现Ring0级别的Inline Hook需要编写驱动程序,这里提到的"MyDriver"很可能是这样一...
内存注入(IAT HookInline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
API hook(inline)超简入门代码
07-20
简单的API hook的入门用代码参考,hook目标MessageBoxW。hook形式:inline hook
inline hook的原理及实现
Qiu233的博客
08-06 8229
网上没有找到多少关于inline hook的文章,感觉这方面资料不是很完整,所以决定自己写一份存档,重点讲述inline hook实现inline hook的核心思想是:通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域,执行完毕跳转回到原来的函数,跳转到的指令区域通常是我们自己编写的函数。inline hook技术对于编写外挂和外挂式补丁意义重大。 步骤: 1.使用Vir
kernel inline hook 绕过vice检测
03-21 2532
创建时间:2005-11-05文章属性:原创文章提交:jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到
c#一个网友写的hook .net方法的源码库,写的非常详细,比较实用收藏
netyou的专栏
02-09 972
用于Hook.Net方法的类库,代码量不大,完全的C#代码实现,是一个比较有趣的功能,分享出来希望能和大家共同探讨 1.为何想做这个 说到hook大家都应该不陌生,就是改变函数的执行流程,让本应该执行的函数跑到另一个函数中执行,这是个很有用也很有趣的功能(例如获取函数参数信息, 改变函数执行流程,计算函数执行时间等等),杀软中主防的原理就是hook,通过hook拦截函数获取参数信息来判断是否是...
HOOK API 在多线程时应该注意的问题点
weixin_30369087的博客
01-26 226
1. 使用DetoursHOOK 技术(强烈建议) 强烈建议使用Detours进行 HOOK API,稳定性已经得到普遍认同。官方版是微软的,但也有开源实现(实际应该是付费用户在微软官方源码基础上开放出来的),百度一下就有,多种语言都有相应的库。 使用Detours时针对多线程有以下建议: 1)访问资源使用临界区或多读一写锁 2)开发过程中对“同步保护”的优先级高于“运行效率” 2. ...
Ring3Inline Hook API
十年磨一剑,霜刃未曾试!
07-16 4129
用CreateFile为例子,讲解一下Ring3下的Inline Hook API,基本原理很简单1、获取CreateFile函数的地址2、读取CreateFile函数的前8个字节3、将CreateFile函数的前8个字节,修改成mov eax,我的函数地址  jmp eax4、
HOOKAPIhook(转)
WLINX
10-15 582
日常抄好友代码,原文链接:https://www.jianshu.com/p/1c8280bc88a4 最近分析一个样本,发现其是hook一个API函数,逻辑如下: hook函数 1.获取ZwWriteVirtualMemory的基址 HMODULE ntdll = LoadLibraryA("ntdll.dll"); byte * ZwBase =(byte *)GetProcAdd...
HOOKAPI教程:全局HOOK MessageBox 实现
"本教程主要讲解如何实现HOOK所有程序的MessageBox,包括 MessageBoxA 和 MessageBoxW,通过将自定义的代码注入到目标进程中,实现系统级别的HOOKAPI。" 在Windows编程中,HOOKAPI是一种技术,用于拦截并修改特定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值