madcHook的dll逆向简说

最新推荐文章于 2024-06-24 08:00:00 发布
原创 最新推荐文章于 2024-06-24 08:00:00 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll #杀毒软件 #加密 #汇编

本文介绍了一种解决madchook被误报为木马的方法。通过修改其特有字符名称并加密处理,使madchook能绕过杀毒软件的检测。涉及对驱动文件的逆向分析与修改。

 

madchook的技术比较成熟和稳定,但是却被木马等程序利用,以至于被许多杀毒软件直接报木马,所以修改madchook内特有字符名称,可以逃脱杀毒软件报毒,与查杀,主要的特殊的字符窜是他的内存映射名称和他的文件名称,但是不能直接修改驱动文件名,否则dll文件无法加载驱动,所以本人经过多次的反复动态调试与逆向分析,发现dll中的特有字符串都被加密了,包括驱动的名称,分析发现加密的方式很简单,就是 用0x55异或了一下,在dll中还备份了一个驱动的文件,如果你把madcHook的dll整个文件用0x55异或一遍,你就会发现很多眼熟的字符窜,比如:madjmap映射等等,还有驱动的名称,还可以发现驱动的文件头的信息,你只要修改了相应的字符窜名称,在异或回去,就可以使用!,当然驱动也要反汇编,改掉默认的映射名称,再重新编译!

墨者学院-逆向分析实训-dll(第1题)
qq_41453632的博客
01-11 1182
1.下载文件,解压得到ClassLibrary1.dll 2.利用dnSpy对ClassLibrary1.dll逆向分析。 3.在vs 2010 中创建新项目dll,语言选择C#,代码如下: using System; using System.Collections.Generic; using System.Linq; using System.Text; using Syste...
逆向工程核心原理 Chapter23 | DLL注入
ULGANOY的博客
09-02 1686
逆向工程核心原理第23章学习记录
madCHook.pas
06-04 1205
<br />//  madCHook.pas          version:  2.0   ?  date: 2003-08-10<br />//  ----------<br />//  API hooking, code hooking<br />//  ----------<br />//  Copyright (C) 1999 - 2003 www.madshi.net, All Rights Reserved<br />// **********<br /><br />// 2003-08-1
MadCHook详解
N阶二进制的博客
06-24 722
拦截系统API调用,修改函数行为。DLL注入注入DLL到目标进程,进行进程内操作。进程间通信提供安全高效的进程间通信机制。支持多种Hooking方法Inline Hooking、IAT Hooking、EAT Hooking等。MadCHook是一个强大的API Hooking工具,可以方便地实现各种进程注入和Hooking操作。通过了解和掌握这类工具的使用方法,可以帮助开发者进行系统调试、功能扩展,同时也有助于安全研究人员理解和防范潜在的安全威胁。
mhook钩子库,包含静态lib版和源码版
04-01
mhook钩子库,包含静态lib版和源码版.
用madCodeHook写的HookAPI源代码.mht
01-08
用madCodeHook写的HookAPI源代码.mht
精选资源
DLL加载器V1.0:加载DLL附加进程逆向分析
最新发布
03-14
逆向工程中,DLL加载器通常被用来动态加载和执行一个DLL文件,这在分析和修改软件的行为时尤其有用。通过使用DLL加载器,开发者或安全研究员可以在运行时注入和测试代码,而无需修改原始的可执行文件。这种技术...
转一篇DLL逆向的文章,适用于一般的dll逆向
weixin_30435261的博客
11-18 2482
转一篇DLL逆向的文章,适用于一般的dll逆向,我使用的库是一组DLL,都有强签名,如下方法不适合,编译会提示强签名错误。 C# 带签名dll破解 Mar 9, 2016|C#|84Hits 转自http://blog.fwhyy.com/2016/03/csharp-with-signature-dll-crack/?utm_source=tuicool&utm_...
精选资源
逆向dll中的函数及通过函数api钩子获取dll中的全局或是const变量值
07-13
逆向dll中的函数及通过函数api钩子获取dll中的全局或是const变量值
逆向分析_DLL基础(1)
余韵
10-26 4835
DLL基础 (一) 相关名词 简写 全称 DLL Dynamic Link Library PE Portable Executable COM Component Object Model COFF Common Object File Format DLL 动态链接库 ,PE源于Unix COFF文件。 (二) 调用DLL文件 在powershell查看可执行后...
Hook钩子编程
01-23
这是一个用钩子实现的鼠标和键盘屏蔽程序,请谨慎使用,退出键是F2
madCodeHook.pas
04-16
// madCodeHook.pas version: 2.0 ? date: 2003-08-10 // ---------- // API hooking, code hooking // ---------- // Copyright (C) 1999 - 2003 www.madshi.net, All Rights Reserved // ********** // 2003-08-10 2.0 (1) HookCode parameters changed -> only one flags parameter // (2) (Un)InjectLibrary: user/session/system wide injection! // (3) InjectLibrary2 replaced by InjectLibrary (auto detect) // (4) static lib for Microsoft C++ added // (5) CreateIpcQueue + SendIpcMessage + DestroyIpcQueue added // (6) AmSystemProcess + AmUsingInputDesktop added // (7) GetCurrentSessionId + GetInputSessionId added // (8) GetCallingModule function added // (9) ProcessIdToFileName added // (a) Create/OpenGlobalMutex + Event + FileMapping added // (b) WideToAnsi + AnsiToWide functions added // (c) RenewHook function added // (d) madCodeHook.dll -> madCHook.dll (8.3 dos name logic) // (e) UnhookAPI added (= UnhookCode, added just for the look) // (f) AddAccessForEveryone added // 2002-10-17 1.3f InjectLibrary2(W) was not stdcall (dumb me) // 2002-10-03 1.3e (1) InjectLibraryW added // (2) InjectLibrary2(W) added for use in CreateProcess(W) hooks // 2002-09-22 1.3d CreateProcessExW added // 2002-03-24 1.3c CollectHooks/FlushHooks speed up mixture initialization // 2002-02-24 1.3b LPSTARTUPINFO -> LPSTARTUPINFOA // 2002-01-21 1.3a ProcessHandleToId exported // 2001-07-08 1.3 new functions (1) AllocMemEx & FreeMemEx // (2) CopyFunction // (3) CreateRemoteThread and // (4) InjectLibrary added // 2001-04-20 1.2a you can now force HookCode/API to use the mixture mode // 2001-04-16 1.2 new function CreateProcessEx -> dll injecting
钩子技术HOOK使用教程
11-01
钩子函数实际上是一个处理消息的程序段,每当一个应用程序调用函数GetMessage或PeekMessage而恰有一个消息即将被处理时,系统调用钩子函数。也就是说,当特定的息发出,在没有到达目的窗口前,钩子函数先捕获消息,亦即钩子函数先获得控制权。这时钩子函数既可以加工处理该消息,也可以不作处理而继续传递消息,还可以强制结束消息传递。系统为每种类型的钩子维护一个钩子链,最近安装的钩子放在链的开始,而最先安装的钩子放在最后,也就是后加入的钩子先获得控制权。 Windows API函数SetWindowsHookEx用来安装钩子函数,这个函数的原型是HHOOK SetWindowsHookEx(int idHook,HOOKPROC lpfn,HINSTANCE hMod,DWORD dwThreadId),其中第一个参数是钩子的类型;第二个参数是钩子函数的地址;第三个参数是包含钩子函数的模块句柄;第四个参数指定监视的线程,如果指定确定的线程,即为线程钩子,如果指定为空,则为全局钩子。其中,全局钩子必须包含在DLL中,线程专用钩子可以包含在可执行文件中。得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另一个API函数CallNextHookEx来传递它,钩子函数也可以通过直接返回0来丢弃该消息,以阻止消息的传递。
mhook-2.3.zip
02-24
完全开源,支持x64 VS2010编过
MHook-2.3_DllDemo-2.rar
05-07
mhook库的使用示例
学习API HOOK,编写了一个winsock 的封包抓取程序,可免费使用;
weixin_33966365的博客
11-26 683
开发环境是:windows 2000 + delphi 7 监视API:recv,recvfrom,WSARecvEx,send,sendto,accept,bind,closesocket,connect socket 版本:wsock32.dll/*ws2_32.dll(暂时有兼容问题) 目前还不支持修改封包; 当前实现针对某个进程或多个选...
简单实现Java调用DLL:步骤与配置详解
标题中提到的“java调用dll最简单的方式”涉及到的是一种技术途径,即Java程序调用动态链接库(Dynamic Link Library,简称DLL)中的函数或过程。DLL是微软操作系统中用于运行时共享程序代码和数据的方式。DLL使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值