detours对加壳程序有效的原因

最新推荐文章于 2016-01-22 15:44:52 发布
最新推荐文章于 2016-01-22 15:44:52 发布
阅读量1.4k 收藏
点赞数
文章标签: windows dll
detours对加壳程序有效的原因

detours能拦截普通程序的函数调用,其实它也能拦截加壳程序的函数调用。
不过你要动态把dll注入目标进程,才能拦截到加壳程序的函数调用。
关于在windows nt下如何动态把dll注入目标进程的方法,这里就掠过不提了。

本文内容如下:
1)场景假设
2)代码编写
3)加壳文件a.exe对windows函数send的调用
4)未加壳文件a.exe对windows函数send的调用
5)detours 在windows nt下拦截 wsock32.dll 的send函数的方法
6)注入a.exe的dll b.dll 对send函数的拦截
7)a.exe对send函数的调用被拦截
总结

1)场景假设:
a.exe是个用ASPack加壳的程序,它调用了windows函数send(在wsock32.dll中)。
用vc6.0带的 dumpbin.exe 看不到 a.exe 对 wsock32.dll的send函数的引用。
现在,我们的目标是在把 b.dll 注入 a.exe 后,能把a.exe(包括其它所有相关
dll)对wsock32.dll send函数的调用,替换成 b.dll 中 Mine_send函数。

2)代码编写:
b.dll的代码就不用说了吧?
参见“hook socket send recv的代码“
http://www.gameres.com/bbs/showthread.asp?threadid=3379&;page=3

3)加壳文件a.exe对windows函数send的调用:
1.假设进程 a.exe中的函数 mysend 调用了 wsock32.dll 的send 函数,
同时 a.exe用UPX或ASPack加壳了。a.exe被压缩,iat等被隐藏。
ASPack在a.exe的开头加了自己的代码。

2. a.exe 启动的时候,ASPack的代码解压文件,根据原来的iat加载
wsock32.dll,并找到send 函数的地址,假设这个地址是 0xbbbb。

3.ASPack的代码修改 a.exe中mysend对send调用的地址为0xbbbb。

4)未加壳文件a.exe对windows函数send的调用:
1.windows首先检查a.exe的 iat中引用的dll是否都存在
2.把wsock32.dll映射入内存,把a.exe映射入内存
3.修改 a.exe中mysend对send调用的地址

5)detours 在windows nt下拦截 wsock32.dll 的send函数的方法:
1.detours 先找到 send 的地址
2.detours 判断这个地址是否是 wsock32.dll send函数的真正地址。
  如果不是的话,detours会根据send的地址一直找到send函数真正地址。
  架设detours最后找到了这个地址 0xbbbb.
3.detours 修改wsock32.dll 中send函数地址0xbbbb开始处的指令,
  把这些指令变成对Mine_send函数的调用

6)注入a.exe的dll b.dll 对send函数的拦截:
1.b.dll调用detours函数.
  detours函数修改 wsock32.dll send函数地址0xbbbb开始处的指令,
  以便把wsock32.dll的send函数替换成 Mine_send 函数

7)a.exe对send函数的调用被拦截:
1.a.exe 对 send 的调用最终会 调用 0xbbbb 地址
2.b.dll 的 detours 函数已经把 0xbbbb 地址替换成 b.dll 的 Mine_send
  函数
3. a.exe 对 send 的调用变成对 Mine_send调用

总结:
    1. detours能拦截能拦截加壳程序的函数调用,不过你要动态
       把dll注入目标进程,才能拦截到加壳程序的函数调用。
    2. 拦截加壳程序的函数调用和拦截普通程序的函数调用原理上没有区别。
    3. 错误之处,还请指正。

zzz822163
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
detours hook 完整代码
08-18
win7 x64 可用于64位进程 ring3 级detours钩子ntquerysysteminformation
Detours库简单使用程序
08-09
在本案例中,“Detours库简单使用程序”是一个实例,展示了如何利用Detours库来Hook系统API中的`send`和`recv`函数,这两个函数分别用于在网络通信中发送和接收数据。 首先,我们需要理解Detours库的工作原理。...
关于应用程序加壳后,IAT钩子失效问题的破解
i华仔的专栏
01-22 1313
IAT钩子主要使用的IAT表进行API HOOK 加壳会使原有的导入表被加密,导致无法直接通过修改导入表来Hook API,如下图, 使用UPX加壳后,计事本程序,的很多项导入表不见了. 此类软件加壳后将导至IAT钩子失效,导致无法完成相应的API HOOK 解决方法一, 强行搜索进行空间,进行比对,发现是自己所要钩取的API地址进行替换(稳定性极差) 解决方法二 , 看官
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 9896
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
截获 Windows socket API
12-07 1595
1前言本文主要介绍了如何实现替换Windows上的API函数,实现Windows API Hook(当然,对于socketHook只是其中的一种特例)。这种Hook API技术被广泛的采用在一些领域中,如屏幕取词,个人防火墙等。这种API Hook技术并不是很新,但是涉及的领域比较宽广,要想做好有一定的技术难度。本文是采集了不少达人的以前资料并结合自己的实验得出的心得体会,在这里进行总结发表
detours_Detours1.5_
09-29
- **始终测试**:在实际环境中对Detours进行充分的测试,确保没有未预期的副作用。 - **模块化**:将Detour代码封装在单独的模块中,便于管理和维护。 - **清理**:在不再需要Detour时,记得正确地解除挂钩,以...
Detours-master_detours_hook_
09-30
总结起来,Detours是一个强大的工具,它提供了灵活的函数hook功能,能够帮助开发者在不修改原代码的情况下,对程序的行为进行控制和扩展。无论你是进行系统级编程,还是需要在用户层面上进行功能增强,Detours都是一...
detours4.0_opencvMFC_Detours4_detours_
10-04
使用 Detours 需要对 WinAPI、C++ 编程以及动态链接有深入理解。在 MFC 和 OpenCV 应用中使用时,可能需要了解两者的基本架构和接口,以便正确地定位和替换需要拦截的函数。开发者还需要阅读 README 文件和样例代码...
Detours支持库
07-24
2. **低侵入性**:由于Detours是在运行时进行操作,因此不影响目标程序的编译和链接过程。 3. **高效性**:Detours采用了一种优化的钩子实现,尽可能减少了插桩代码对性能的影响。 4. **稳定性**:Detours库经过了...
Detours(有例子)
12-14
Detours是一个在x86平台上截获任意Win32函数调用的工具库。中断代码可以在运行时动态加载。Detours使用一个无条件转移指令来替换目标函数的最初几条指令,将控制流转移到一个用户提供的截获函数。而目标函数中的一些指令被保存在一个被称为“trampoline” (译注:英文意为蹦床,杂技)的函数中,在这里我觉得翻译成目标函数的部分克隆/拷贝比较贴切。这些指令包括目标函数中被替换的代码以及一个重新跳转到目标函数的无条件分支。而截获函数可以替换目标函数,或者通过执行“trampoline”函数的时候将目标函数作为子程序来调用的办法来扩展功能。
Detours4.0最新版HOOK库源码,支持32及64位程序,这是正版源码。官方是收费的。
09-09
Detours4.0最新版,支持32及64位程序,这是正版源码。官方是收费的。
HDHook(附源码)HookAPI改变硬盘串号和MAC地址
05-18
VC++源码 一个使用detoursHookAPI的简单例子 DeviceIoControl获取硬盘串号 GetAdaptersInfo获取MAC Hook这两个API改变获取的硬盘串号和MAC地址 HDHook工程 生成dll GetHDDSN工程 载入生成的dll 获取硬盘串号和MAC地址 需要自行安装detours
detours2.1 VC6中编译方法及源代码及使用例子及编译好的BIN
07-12
detours2.1在vc6中编译方法 1.在纯VC6环境中新建 win32 static library 项目名设为detours 2.把detours2.1 scr目录中的源文件全部添加到项目 3.在Project->Seting->C/C++->Preprocessor definitions中添加DETOURS_X86 4.打开项目中detoured.cpp把里面DllMain函数名修改为LengFeng(否则使用时会出现DllMain冲突)error LNK2005: _DllMain@12 already defined in ***.obj 5.直接编译就可以生成detours.lib 6.在需要的项目中使用detours.lib和detours.h 就可以了 7.附件中提供了编译好的detours.lib和系统源代码 注意:需要在没有安装SDK的环境编译,如果安装过SDK,请把SDK的顺序调到最后 detour_2.1 为源码 detours_bin 为BIN hook_send 为例子 2012-7-12 冷风 QQ 121121606
SkinMagicLib.lib皮肤控件库及VC++换肤实例
03-15
摘要:VC/C++源码,界面编程,SkinMagicLib.lib,换肤控件,DETOURS.lib  一个实用的VC换肤实例,应用大家喜欢的SkinMagicLib.lib界面控件类编写的实例,包括了DETOURS.lib如何使用。为了让大家都学会如何使用SkinMagicLib制作皮肤界面,相信通过这个例子你会受益匪浅,不多说了,关于使用方法请参阅源码里的详细使用说明。
Detours实现APIHOOK
Lassewang的成长历程
08-15 4127
Detours实现APIHOOK Detours是一个软件开发库,它用于实现拦截Win32二进制代码中的API函数。 它使用一个Jmp指令替换了目标函数的前面几个字节,使得控制直接调用实现的 Detours函数。并通过一个trampoline函数保留了原来函数的功能调用。 我们知道,实现APIHOOK主要有两个重要环节,一是如何把代码注入到目标地 址空间,二是如何让自己的代码被调用。
简明的Detours Hook教程
热门推荐
天外飞猪的家
12-24 1万+
tag: Hook, Detours,Windows,CreateRemoteThread,MessageBox 前言     项目开发中需要跟踪其它程序的API调用情况。但厂商又无源码提供,故只好自己动手去Trace了。     Google/Baidu了许久,也搜集了很多代码。也经过实验和测试,总结了本文供大家参考。     本文针对Windows Hook技术在编程中的应用进行讨论,
API HOOK 64位 VS2008 可编译
04-22
用于windows 64位工程的 通用API hook 代示例工程
detours 1.5
最新发布
12-01
Detours 1.5 提供了一些API和工具,允许开发者在不修改源代码的情况下,实现对已编译的应用程序的功能拦截、修改或重定向。 例如,Detours 1.5 可以用于实施函数钩子,即在应用程序的函数调用前后插入自定义的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值