用户层 Inline Hook

🕗 发布于 2024-04-15 18:59 网络安全学习

x86两种方式

jmp

杀软常直接通过 jmp 来进行 hook，占 5 字节，但是需要进行计算，例：

mov、jmp

不需要计算，但是占 7 字节，例：

x64

不能直接jmp，要用mov、jmp，占 12 字节

DLL注入hook

hook MessageBox 进入 MyMessageBox，例：

被注入的MessageBox.exe：

dllmain.cpp

#include "pch.h"
#include <windows.h>

#ifndef _WIN64 // x86.dll
BYTE OldCode[7] = { 0 };
BYTE NewCode[7] = { 0xB8, 0x0, 0x0, 0x0, 0x0, 0xFF, 0xE0 };
#else // x64.dll
BYTE OldCode[12] = { 0 };
BYTE NewCode[12] = { 0x48, 0xB8, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0xFF, 0xE0 };
#endif*/

HMODULE hModule_User32 = GetModuleHandle(L"user32.dll"); // 加载user32.dll
FARPROC MessageBoxAddress = GetProcAddress(hModule_User32, "MessageBoxW"); // 获取MessageBoxW地址，Unicode用W、Ascii用A

int WINAPI MyMessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType) { // 使用Windows API的调用约定(__stdcall)
#ifndef _WIN64 // x86.dll
    RtlCopyMemory(MessageBoxAddress, OldCode, 7); // 改回原硬编码
    MessageBox(0, L"2", L"2", MB_OK); // 修改弹框内容
    RtlCopyMemory(MessageBoxAddress, NewCode, 7); // 改为新硬编码，用于下一次hook
#else // x64.dll
    RtlCopyMemory(MessageBoxAddress, OldCode, 12);
    MessageBox(0, L"2", L"2", MB_OK);
    RtlCopyMemory(MessageBoxAddress, NewCode, 12);
#endif
    return 0;
}

void InlineHook() { // 进行hook
#ifndef _WIN64 // x86.dll
    RtlCopyMemory(OldCode, MessageBoxAddress, 7); // 获取原前7字节硬编码

    DWORD jmpAddress = (DWORD)MyMessageBox; // 获取MyMessageBox地址
    memcpy(&NewCode[1], &jmpAddress, 4); // 将MyMessageBox地址补充到新硬编码
    DWORD oldProtection = NULL; // 用于接收修改前的访问权限
    VirtualProtect(MessageBoxAddress, 7, PAGE_EXECUTE_READWRITE, &oldProtection); // MessageBox前 7 字节改为可对可写可执行
    RtlCopyMemory(MessageBoxAddress, NewCode, 7); // 将前7字节硬编码改为新硬编码
#else // x64.dll
    RtlCopyMemory(OldCode, MessageBoxAddress, 12);

    ULONGLONG jmpAddress = (ULONGLONG)MyMessageBox;
    memcpy(&NewCode[2], &jmpAddress, 8);
    DWORD oldProtection = NULL;
    VirtualProtect(MessageBoxAddress, 12, PAGE_EXECUTE_READWRITE, &oldProtection);
    RtlCopyMemory(MessageBoxAddress, NewCode, 12);
#endif
}

BOOL APIENTRY DllMain(HMODULE hModule,
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        InlineHook();
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

原文地址：https://blog.csdn.net/2301_80520893/article/details/137588083

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！

上一篇：python将pdf转为docx
下一篇：hive了解系列一

云原生之运维监控实践-使用Prometheus与Grafana实现对Nginx和Nacos服务的监测
没有度量就没有改进，实际上，监控系统有以下两个客户：技术，业务。上述内容即是对技术组件的监控，方便技术方面的改进与优化。本文记录了在Docker环境下通过Prometheus和Grafana实现对Ng
阅读更多2024-11-17
GitLab 部署和配置指南
这篇文档详细介绍了GitLab部署的多个方面，包括配置内置Nginx、申请和自动续期HTTPS证书、通过FRP将内网服务映射到外部，以及在阿里云服务器上配置Nginx的反向代理。内容涵盖了FRP客户端
阅读更多2024-11-17
深度学习驱动的蛋白质设计技术与前沿实践-从基础到尖端应用
1、结构生成过程中的物理能量函数与约束2、基于Deep learning的预测模型和生成模型3、结构验证与性能评估五、RFdiffusion基于指定骨架的蛋白质结构设计核心知识点：利用用户提供的特定结
阅读更多2024-11-17
刘艳兵-DBA036-Oracle数据库中的触发器（Trigger）可以在以下哪种情况下自动执行？
刘艳兵-DBA036-Oracle数据库中的触发器（Trigger）可以在以下哪种情况下自动执行？
阅读更多2024-11-17
刘艳兵-DBA037-在ASM实例中，如下哪个参数是必须的？
刘艳兵-DBA037-在ASM实例中，如下哪个参数是必须的？
阅读更多2024-11-17
基于物联网的农业环境监测系统开发（本科毕业论文）
数据访问层通过封装MongoDB的API，提供统一的数据操作接口，确保数据的一致性和安全性。对于大量的监测数据，我们使用了时序数据库InfluxDB进行存储，InfluxDB在处理时序数据方面具有天然
阅读更多2024-11-17
大数据-226 离线数仓 - Flume 优化配置自定义拦截器拦截原理了拦截器实现 Java
前面FlumeAgent的配置使用了本地时间，可能导致数据存放的路径不正确。要解决上面的问题就需要使用自定义拦截器。Agent用于测试自定义拦截器，source => logger sink#
阅读更多2024-11-17
Flutter：key的作用原理（LocalKey ，GlobalKey）
第一段代码实现的内容：创建了3个块，随机3个颜色，每次点击按钮时，把第一个块删除。Flutter中的3棵树中，Widget树和Element树。中有这样一个方法，Flutter的增量渲染就是通过。旧的
阅读更多2024-11-17
vscode 关闭绑定元素隐式具有“any”类型这类错误
出现类型“never”上不存在属性“userName”。ts-plugin(2339) 配置该参数。在vue的项目里面，经常看到any类型的报错，真的很烦的。“noImplicitAny”: fals
阅读更多2024-11-17
Vue 3 插槽详解
默认插槽（Default Slot）用于在子组件中设置一个默认插槽内容，当父组件没有提供内容时会使用这个默认内容。默认插槽非常适合在组件内部提供基本的布局和结构。具名插槽（Named Slot）用于定
阅读更多2024-11-17

用户层 Inline Hook

x86两种方式

jmp

mov、jmp

DLL注入hook

相关文章