Anti Hook,Anti BreakPoint

最新推荐文章于 2023-04-20 11:56:25 发布
原创 最新推荐文章于 2023-04-20 11:56:25 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #image #null #header #dos #user

本文介绍了一种技术,通过将所需DLL文件复制到应用程序自己的内存空间中来防止API函数被调试工具拦截。这种方法使Cracker无法通过设置系统DLL文件中的断点来跟踪特定的API调用。

这段代码演示了如何让你的程序要保护的API函数不被下断。

这段代码显示一个对话框,但Cracker在OD中是无法下MessageBoxA断点的。因为程序将要用到的MessageBoxA函数的DLL文件拷贝到了自己新申请的空间内,并执行的是新空间中MessageBoxA的代码。而Cracker下的断是系统DLL文件的断点,显然是无法拦截到我们的函数的。

#include <windows.h>
#include <stdio.h>

DWORD RvaToOffset(LPVOID lpBase,DWORD VirtualAddress)
{
IMAGE_DOS_HEADER *dosHeader = (IMAGE_DOS_HEADER*)lpBase;
IMAGE_NT_HEADERS *NtHeader = (IMAGE_NT_HEADERS*)((BYTE*)lpBase + dosHeader->e_lfanew);
int NumberOfSection = NtHeader->FileHeader.NumberOfSections;
IMAGE_SECTION_HEADER *SectionHeader;

for (int i=0;i<NumberOfSection;i++)
{
   SectionHeader = IMAGE_FIRST_SECTION(NtHeader)+i;
   if(VirtualAddress>SectionHeader->VirtualAddress&&VirtualAddress<SectionHeader->VirtualAddress+SectionHeader->SizeOfRawData)
   {
    DWORD AposRVA = VirtualAddress - SectionHeader->VirtualAddress;
    DWORD offset = SectionHeader->PointerToRawData + AposRVA;
    return offset;
   }
}
return 0;
}


int main(int argc,char *argv[])
{
char szDllPath[MAX_PATH];
   DWORD dwRead;
char *szTitle="Tilte";
char *szMessage="Message";

GetSystemDirectory(szDllPath,MAX_PATH);
strcat(szDllPath,"//user32.dll");
HANDLE hFile = CreateFile(szDllPath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,NULL,NULL);
DWORD dwSize = GetFileSize(hFile,NULL);
LPVOID lpBase = VirtualAlloc(NULL,dwSize,MEM_COMMIT,PAGE_READWRITE);
ReadFile(hFile,lpBase,dwSize,&dwRead,NULL);
//申请user32.dll文件大小空间,并将user32.dll文件写入

HMODULE lpMod = LoadLibrary(szDllPath); //得到user32.dll的HMODULE
LPVOID lpOldMessageBox = GetProcAddress(lpMod,"MessageBoxA");//得到MessageBoxA函数地址

DWORD dwRVA = (DWORD)lpOldMessageBox - (DWORD)lpMod;//计算MessageBoxA在内存中的偏移地址
DWORD lpNewMessageBox = RvaToOffset(lpBase,dwRVA);//将内存地址转换成文件地址,即找到MessageBoxA在文件中的地址
lpNewMessageBox += (DWORD)lpBase;//计算MessageBoxA在新内存中的地址

__asm
{
   mov eax,lpNewMessageBox
   push 0
   push szTitle
   push szMessage
   push 0
   call eax  
}

FreeLibrary(lpMod);
CloseHandle(hFile);
return 0;
}

a33445621
关注
180313 逆向-反调试技术(6)HookAntiHook
whklhhhh的博客
04-03 1346
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. HookAntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
做一个检测钩子程序的工具
热门推荐
oRbIt 的专栏
11-25 1万+
(本文最早发表在《电脑编程技巧与维护》杂志) 输入您的搜索字词 提交搜索表单 一、引言 Windows系统是建立在事件驱动的机制上的,每一个事件就是一个消息,每个运行中的程序,也就是所谓的
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
Ollydbg Anti Anti Hardware Breakpoint Plugin
04-06 1218
http://www.exetools.com/forum/showthread.php?t=8499引用: Ollydbg Anti Anti Hardware BreakpointCopyright (c) 2005 - Mattwood^FRET - mattwood9@gmail.com - www.pastapolis.info - http://reverseengineering
Android anti-hook技术
fzs4idiot的博客
08-08 1273
原文出处:http://d3adend.org/blog/?p=589 Stab 1: 检查是否安装hook框架,例如xposed或Substrate PackageManager packageManager = context.getPackageManager(); List applicationInfoList = packageManager.getInstalled
Anti ptrace:去掉AlipayWallet的ptrace 反调试保护,进行lldb调试---仅用于参考学习
weixin_33739646的博客
11-28 2085
新的博客 学习笔记 前言 code 软件环境:Xcode硬件环境:iPhone5越狱手机、Mac开发工具: Cycript、LLDB、logos Tweak、hopper、MonkeyDev、AFLEXLoader、dumpdecrypted、debugserver、ssh、class_dump、hook 本文采用tweak 的方式进行M...
揭秘pdd anti_content参数生成逻辑:基于HTTP流量与JS混淆的深度逆向分析
# 揭秘拼多多 anti_content 参数生成逻辑:从抓包到算法复现的完整逆向之旅 在智能家居设备日益复杂的今天,确保无线连接的稳定性已成为一大设计挑战。然而,在现代电商平台中,真正让开发者夜不能寐的,是那些藏在...
anti_content参数生成入口精准定位:深入剖析PDD商家端JS混淆结构与控制流还原
# PDD商家端`anti_content`参数逆向全链路解析:从JS混淆到安全防御演进 在智能家居设备日益复杂的今天,确保无线连接的稳定性已成为一大设计挑战。但如果我们把视线转向电商领域——尤其是像拼多多(PDD)这样的...
PDD Anti-Content参数行为深度追踪:从JavaScript调用链到动态调试实战(新手进阶必看)
# 拼多多 Anti-Content 参数行为深度解析:从静态逆向到动态追踪的实战演进 你有没有试过凌晨三点,盯着 DevTools 里满屏 `a(a,b,c){return b^c&a}` 的代码发呆? 而就在那一刻,页面突然弹出「环境异常,请刷新重...
硬件断点hook 怎么不让反作弊检测到dr寄存器
最新发布
08-28
在使用硬件断点(HW Breakpoint)进行Hook时,反作弊系统通常通过检测**调试寄存器(DR0-DR7)**的值来识别调试行为。以下是系统性方案,通过隐藏DR寄存器的修改痕迹,规避反作弊检测: --- ### **一、硬件断点...
如何anti_anti_hardware_breakpoint
土星·北海若
07-05 2927
    之前我写过一篇利用SEH异常清硬件断点,看来真的是有矛就有盾啊,发现了一篇英文文章,专门讲如何anti_anti_hardware_breakpoint(很拗口吧?翻译成中文就是如何对付那些防止我们下硬件断点的程序).Chapter 1Hardware breakpoint    Hardware breakpoints or BPM(Breakpoint on Memory)
HOOK集合----SSDT Hook Anti(X86 win7)
qq_42021840的博客
05-09 280
介绍: 前段时间写了SSDT Hook,没来得及写SSDT HookANTI策略,今天来写一下。 其实,ANTI SSDT Hook 也很简单,无非就是对比一下内存中加载的SSDT 表中的函数地址和原文件(ntkrnlpa.exe)中的SSDT表中函数地址是否一致即可。 (一) ⚪ 获取ntkrnlpa.exe模块的完整路径 ⚪将文件读取到当前内存空间中 ⚪将RVA转化为FOA,找到原文件读取到内存中的SSDT表位置。 ⚪判断内存加载的SSDT表中的函数地址和原文件中的SSDT表...
12、HOOK原理下
Holothurian
04-20 1311
如何防护他人Hook:需要保留自己的HOOK方法;如果要使用fishhook做防护,那么需要在framework里边去实现;因为framework里边的load加载会比主工程的代码更快.注入的HOOK代码在framework代码之后,主工程之前.所以要切入这个时机点去做防护
程序驱动防止消息钩子入侵
weixin_33672400的博客
04-28 356
PS:明天上午,非常郁闷,有很多简单基础的问题搞得我有些迷茫,哎,代码几天不写就忘。目前又不当COO,还是得用心记代码哦!     很久以前就道知可以应用LoadLibraryExW来避免全局钩子入侵,说实话直一很恶感消息钩子。经曾想过在驱动层通过过hook NtUserSetWindowsHookEx来避免,但是我们是不并很好分区钩子不是不意恶的,而且windows统系本身也会应用,还有就是驱...
Ant Design 4.1.0 发布,涉及30多项内容
hdx柿子的博客
04-02 698
感谢参考原文-http://bjbsair.com/2020-04-01/tech-info/18434.html 前言 Ant Design 4.1.0 发布了。Ant Design 是阿里开源的一套企业级的 UI 设计语言和 React 实现,使用 TypeScript 构建,提供完整的类型定义文件,自带提炼自企业级中后台产品的交互语言和视觉风格、开箱即用的高质量 React 组件与全链路开发...
iOS逆向之反HOOK的基本防护
weixin_33695082的博客
05-28 707
iOS逆向之Method Swizzle iOS逆向之fishHook原理探究 iOS逆向之fishHook怎么通过符号找字符串 学习完上面的文章后,深感fishhook之强大,既然fishhookhook系统的函数。那么猜想: 如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗?? 一、写上基本的防护,内部使用hook,外部没有hook 1、新建工...
Anti SSDT Hooking技术解析
"AntiSSDTHooking - SSDT Hooking技术及反Hook策略研究" 本文档探讨了在Windows 2000/XP/2003操作系统环境中防止SSDT (System Service Dispatch Table) Hooking的方法。SSDT是Windows API实际函数地址存储的表,当...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值