InlineHook3(单步异常挂钩,监测调试器行为)

最新推荐文章于 2025-06-18 22:57:54 发布
原创 最新推荐文章于 2025-06-18 22:57:54 发布 · 382 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #c++ #单片机

本文详细探讨了Windows环境下,通过IDT(Interrupt Descriptor Table)实现的Hook技术,涉及裸函数、中断处理、内存操作和系统调用的修改。作者展示了如何修改中断入口地址并监控特定中断,以及hook后的代码执行流程。 
#include <iostream>
#include<Windows.h>
char* p;
int i;
void JmpTarget();
void __declspec(naked) IdtEntry() {
    p = (char*)0x8003f120;
    for (int i = 0; i < 64; i++) {
        *p = ((char*)JmpTarget)[i];
        p++;
    }

    __asm {
        iretd

    }
}

void __declspec(naked) JmpTarget() {

    __asm {
        push eax
        mov eax,ss:[esp+4]
        mov ds:[0x8003f3f0],eax
        pop eax



        push 0
        mov word ptr [esp+2],0

        push 0x8053F31D
        ret
    }


}
void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
    go();
    system("pause");
}

在这里插入图片描述

开始Hook

#include <iostream>
#include<Windows.h>
DWORD g_num;
void __declspec(naked) IdtEntry() {
    __asm {
        mov eax, cr0
        and eax, not 10000h
        mov cr0, eax



        mov eax, 0x03f12068
        mov ds:[0x8053F314] , eax
        mov ax,0xc380
        mov ds : [0x8053F318] , eax


        //8053F314
        mov eax, cr0
        or eax, 10000h
        mov cr0, eax

 
        iretd

    }
}

void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
       go();
    system("pause");
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

#include <iostream>
#include<Windows.h>
DWORD g_num;
void __declspec(naked) IdtEntry() {
    __asm {
        mov eax, cr0
        and eax, not 10000h
        mov cr0, eax



        mov eax, 0x03f12068
        mov ds:[0x8053F314] , eax
        mov ax,0xc380
        mov ds : [0x8053F318] , eax


        //8053F314
        mov eax, cr0
        or eax, 10000h
        mov cr0, eax

  
        iretd

    }
}

void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
       go();
    system("pause");
}

在这里插入图片描述
在这里插入图片描述

#include <iostream>
#include<Windows.h>
char* p;
int i;
void JmpTarget();
void __declspec(naked) IdtEntry() {
    p = (char*)0x8003f120;
    for (int i = 0; i < 64; i++) {
        *p = ((char*)JmpTarget)[i];
        p++;
    }

    __asm {
        iretd

    }
}

void __declspec(naked) JmpTarget() {

    __asm {
        push eax
        mov eax, ss: [esp+4]
        mov ds : [0x8003f3f0] , eax
        mov eax,1
        mov ds : [0x8003f3f4] , eax
        pop eax



        push 0
        mov word ptr[esp + 2], 0

        push 0x8053F31D
        ret
    }


}
void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
    go();
    system("pause");
}

#include <iostream>
#include<Windows.h>
DWORD g_num;
DWORD g_enabled;
void __declspec(naked) IdtEntry() {
    __asm {
        mov eax,ds:[0x8003f3f0]
        mov g_num,eax
        mov eax, ds : [0x8003f3f4]
        mov g_enabled,eax
        xor eax,eax
        mov ds:[8003f3f4],eax

        iretd

    }
}

void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }

    while (1) {
        go();
        Sleep(1000);
        if (g_enabled)
            printf("%p\n", g_num);
    }
   
    system("pause");
}

在这里插入图片描述

某同学的inline hook检测程序简单逆向分析
10-16 2273
 测试了下,主机上完全不行,虚拟机上运行成功过一次,然后运行了其他的ARK就BSOD的了。没有具体的分析dump文件;检测inline hook的结果不是很完善,且有一部分的错误. 简单说说我对程序的静态分析吧: 1. EXE运行后,得到NtQuerySystemInformation函数地址,传递SystemModuleInformation号获取系统模块信息,取得系
Inline Hook检测模块到驱动
10-16 1454
 by sudami由于项目需要,驱动中要做所有的事情,所以我负责的一个小小的模块自然要全部在驱动中实现;    小小的模块中一个小小的Inline Hook检测部分当然也不例外. 不过是要把某个函数调用链下所有调用过的函数都扫一遍,看是否存在恶意程序的干扰,自然用个深度递归就搞定,可是移植到驱动中,扫描是没问题,就怕那些变态的HOOK恢复不过来,还好,经过一小段时间的算法改进,差不多实现
用开源反汇编引擎检测inline hook
12-10
用开源反汇编引擎检测inline hook
简单的INLINE HOOK检测
cackeme的专栏
09-24 4305
/*  @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
检测API函数的InlineHook
weixin_30500663的博客
07-28 260
检测API函数的InlineHook 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName) 2 { 3 HMODULE hModule = GetModuleHan...
内核所有模块导出函数inlinehook检测
cqyczj的专栏
04-26 1171
主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inlinehook。所以各种狡诈的inlinehook伎俩(mov eax ,xxxx add eax,xxxx,call eax)是逃不过检测的,除非它修改原始磁盘文件。不过可惜,在比较之前是可以进行md5验证的。若原始磁盘文件被修改,显然是昭然若揭了
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
Inline HOOK
Tandy12356_的博客
05-28 5924
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
kernel inline hook 绕过vice检测
03-21 2637
创建时间:2005-11-05文章属性:原创文章提交:jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到
躲猫猫,用inline hook来进行验证
For Geek
04-19 283
Hook是一个非常强大的技巧,利用Hook,不仅可以起到监控进程,做自己想做的事,而且可以利用hook来进行一些check。 给出下面的main函数: #include <stdio.h> #include <Windows.h> #pragma warning(disable:4996) //key : ccaaa int main() { char s[256] =...
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
[翻译]理解/检测 Inline Hooks/ WinAPI Hooks (Ring3)
云守护的专栏
12-14 718
转自:https://bbs.pediy.com/thread-223317.htm 你有没有想过,恶意软件是如何从web浏览器中获取口令密码凭证的呢?最流行的攻击方法是Man-in-The-Browser (MiTB),这也是大家所说的内联挂钩inline hooking或者detours)。内联钩子技术在恶意软件中非常常见而且难以置信的好用。有了内联钩子技术后,恶意软件就成为了进程
Inline Hook 之监视任意函数
linuxheik的专栏
05-09 1527
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《 Inline HOOK API 改进
【2021.01.15】INLINE HOOK
oalken的博客
01-15 241
IAT HOOK的缺点 容易被检测。 只能HOOK IAT表中的函数。 例子 #include <Windows.h> #define PATCH_LENGTH 5 DWORD dwHookAddress = NULL; char szNewText[] = "Inline Hook"; void MessageBoxProc(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { //该函数想怎么写怎么写 没有限制
自己动手,制作inline hook扫描工具
M-先生
03-28 3212
很久没来论坛了,今天来跟大家一起讨论一下关于检测内核中inline hook IAT hook方面的知识 我们平时常用的工具中xuetr和kd都提供了这个功能,比较方便地可以让我们看出来是谁在我们的电脑中做了什么手脚 不过现在有很多软件或者游戏不希望我们看到它们做的种种坏事,纷纷封杀掉这些工具, 更有甚者检测到这类工具启动立马给我来个蓝脸或者重启 这也太霸道了,这到底成了谁的电脑了? 于
Inline Hook
FlowShell的专栏
08-02 1439
一、 什么是 inline hook inline hook 就是在运行的流程中插入跳转指令(call/jmp)来抢夺程序运行流程的一个方法。 好了那么问题就来了: 1. 插入怎么样的跳转指令     一般为 相对JMP(0xE9) + 4字节地址,方便计算          公式:源地址 + 相对偏移 = 目的地址         公式:目的地址 - 源地址 = 相对偏移 2.
检测内核已加载模块的所有导出函数是否被inlinehook
cdsntxz158的专栏
09-26 989
转自看雪:http://bbs.pediy.com/showthread.php?t=110216 好像此论坛还没有谁发过吧,在其他论坛见过,但是有下载限制的。无奈,只好自己写,发出来供像偶这样起步较晚的朋友们参考参考,高手就略过吧,哈哈 主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inli
C2远控篇&C&C++&InlineHook挂钩&动态API调用&突破内存加密&导入表检测
最新发布
2302_80396242的博客
06-18 1001
由于杀软并不是一直扫描内存,而是间隙性的扫描敏感内存,因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。1、Inline hook,应用层的注入hook,通过在内存中找到想要hook函数地址,并在其之前加入自己构造的跳转指令,当被hook位置执行时,便可以跳转到hook使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。//这里就是把定义好的跳转指令写入到我们需要hook的api的前5个字节中。
安卓逆向环境检测--hook
weixin_44348983的博客
06-26 3975
安卓、逆向、检测
另类绕过ring3 inline hook技术解析与实现
绕过ring3inline hook这一技术点在逆向工程和安全攻防领域具有重要的研究价值。ring3指的是CPU特权级别中的第三级权限,也就是用户态(User Mode),与之相对的是ring0,即内核态(Kernel Mode)。在Windows操作...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值