简易网络程序反HOOK技术

最新推荐文章于 2024-05-02 11:23:21 发布
最新推荐文章于 2024-05-02 11:23:21 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 学习 文章标签: hook 网络 dll socket struct thread
文章作者:MagicBear QQ130012321
信息来源:邪恶八进制信息安全团队( www.eviloctal.com

最近在搞一个网络程序,出后不久被破解,于是弄了一些反HOOK的技术
经测试WPE,IPSniffer,XSniffer等等著名Sniffer均告失效

检测内容:
1. 子程序地址是否在DLL空间内
2. 检查本机是否有运行RAW SOCKET类Sniffer
3. 检查GetFuncAddress返回地址是否与从IAT表获取地址相同
4. 检查地址开头是否有JMP
5. 对程序地址进行CRC校验,防止修改主程序及DLL内地址而使保护失效

P.S 需要主程序配合校验
主要是主程序调用,然后同时在DLL内备份一份并做CRC校验备份,主程序在每次发送前都调用DLL校验一次,对网络用量大的可能-0-...........欢迎丟鸡旦

//  LvKrnl.cpp : Defines the entry point for the DLL application.
 //
#include  " stdafx.h "
#include  < winsock2.h >

#define  MAX_PACK_LEN 65535
#define  MAX_HOSTNAME_LAN 255
#pragma  comment (lib , "ws2_32.lib")

DWORD GetFunctionAddress( HMODULE phModule, char *  pProcName )
 {
        if (!phModule)
                return        0;
        PIMAGE_DOS_HEADER        pimDH        =        (PIMAGE_DOS_HEADER)phModule;
        PIMAGE_NT_HEADERS        pimNH        =        (PIMAGE_NT_HEADERS)((char*)phModule+pimDH->e_lfanew);
        PIMAGE_EXPORT_DIRECTORY        pimED        =        (PIMAGE_EXPORT_DIRECTORY)((DWORD)phModule+pimNH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
        DWORD        pExportSize        =        pimNH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;
        DWORD        pResult        =        0;

       
        if ((DWORD)pProcName < 0x10000)
        {
                if ((DWORD)pProcName        >=        pimED->NumberOfFunctions+pimED->Base || (DWORD)pProcName < pimED->Base)
                        return        0;
                pResult        =        (DWORD)phModule+((DWORD*)((DWORD)phModule+pimED->AddressOfFunctions))[(DWORD)pProcName-pimED->Base];
        }else
        {
                DWORD*        pAddressOfNames        =        (DWORD*)((DWORD)phModule+pimED->AddressOfNames);
                for (int i=0;i<pimED->NumberOfNames;i++)
                {
                        char*        pExportName        =        (char*)(pAddressOfNames[i]+(DWORD)phModule);
                        if (strcmp(pProcName,pExportName) == 0)
                        {
                                WORD*        pAddressOfNameOrdinals        =        (WORD*)((DWORD)phModule+pimED->AddressOfNameOrdinals);
                                pResult                =        (DWORD)phModule+((DWORD*)((DWORD)phModule+pimED->AddressOfFunctions))[pAddressOfNameOrdinals[i]];
                                break;
                        }
                }
        }
        if  (pResult != 0 && pResult        >=        (DWORD)pimED        &&        pResult <        (DWORD)pimED+pExportSize)
        {
                char*        pDirectStr        =        (char*)pResult;
                bool        pstrok        =        false;
                while (*pDirectStr)
                {
                        if (*pDirectStr == '.')
                        {
                                pstrok        =        true;
                                break;
                        }
                        pDirectStr++;
                }
                if (!pstrok)
                        return        0;
                char        pdllname[MAX_PATH];
                int                pnamelen        =        pDirectStr-(char*)pResult;
                if (pnamelen <= 0)
                        return        0;
                memcpy(pdllname,(char*)pResult,pnamelen);
                pdllname[pnamelen] = 0;
                HMODULE        phexmodule        =        GetModuleHandle(pdllname);
                pResult        =        GetFunctionAddress(phexmodule,pDirectStr+1);
        }

        return pResult;
}

BOOL RawSnifferCheck()
 {
    SOCKET SockRaw,Sock;
    WSADATA wsaData;
    int ret=0;
    struct sockaddr_in sAddr,addr;
    char RecvBuf[MAX_PACK_LEN];
    char FAR name[MAX_HOSTNAME_LAN];

    struct hostent FAR * pHostent;
    char *Buf;
    int settimeout=100;//这里我们设置了一秒钟超时
    WSAStartup(MAKEWORD(2,2),&wsaData);
    //建立一条RawSocket
    SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);
    //再建立一条UDP
    Sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP);
    memset(&sAddr,0,sizeof(sAddr));
    memset(&addr,0,sizeof(addr));
    sAddr.sin_family=AF_INET;
    sAddr.sin_port=htons(35257);
    addr.sin_family=AF_INET;

    addr.sin_port=htons(35258);
    //把IP地址指向本机
    addr.sin_addr.S_un.S_addr=inet_addr("127.0.0.1");
    memset(RecvBuf,0sizeof(RecvBuf));
    gethostname(name, MAX_HOSTNAME_LAN);
    pHostent=gethostbyname(name);

    //取得自己的IP地址
    memcpy(&sAddr.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);

    //绑定一个本机的接收端口
    bind(SockRaw, (struct sockaddr *)&sAddr, sizeof(sAddr));

    //虚连接到本机的一个未打开的端口
    connect(Sock,(struct sockaddr *)&addr,sizeof(addr));
    Buf="1234567890!@#$%^&*";
    //设置超时
    setsockopt(SockRaw,SOL_SOCKET,SO_RCVTIMEO,(char *)&settimeout,sizeof(int));
    //向虚连接端口发送一个数据包
    send(Sock,Buf,strlen(Buf),0);
    //使用SockRaw尝试接收这个数据包
    ret=recv(SockRaw,RecvBuf,sizeof(RecvBuf),0);
    if(ret==SOCKET_ERROR || ret==0)
        return true;
    else
    {
        //进行ChkSum
        if(Buf=="1234567890!@#$%^&*")
            return false;
    }
    closesocket(Sock);
    closesocket(SockRaw);

    WSACleanup();
    return true;
}

#define  MAIN_API    extern "C" __declspec(dllexport)

FARPROC pconnect;
FARPROC psend;
FARPROC precv;
HINSTANCE hProcModule;

DWORD dwConnect,dwSend,dwRecv;

 const  codesize = 1048576 ;

DWORD GetCRC32( const  BYTE  * pbData,  int  nSize);

BOOL checkJMP( void   * pFun)
 {
    LPBYTE pByte = (LPBYTE)pFun;

    if(*pByte == 0xE9//JMP CODE
    {
        return false;
    }
    if(((long)pFun < (long)hProcModule) || ((long)pFun > ((long)hProcModule + codesize)))
    {
        return false;
    }
    return true;
}

BOOL APIENTRY DllMain( HANDLE hModule,
                      DWORD  ul_reason_for_call,
                      LPVOID lpReserved
                     )
 {
    char syspath[256];
    DWORD pcheck;
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:    //注入进程运行
            GetSystemDirectory(syspath,sizeof(syspath));
            strcat(syspath,"/ws2_32.dll");
            hProcModule = LoadLibrary(syspath);
            if (hModule == NULL)
            {
                MessageBox(0,"Load library error!","Error",MB_ICONSTOP);
                return false;
            }
            pconnect = GetProcAddress(hProcModule,"connect");
            pcheck = GetFunctionAddress(hProcModule,"connect");
            dwConnect = GetCRC32((unsigned char *)&pconnect,4);
            if(!checkJMP(pconnect) || pcheck!=(unsigned long)pconnect){
                MessageBox(0,"Load function connect error!","Error",MB_ICONSTOP);
                return false;
            }
            psend = GetProcAddress(hProcModule,"send");
            pcheck = GetFunctionAddress(hProcModule,"send");
            dwSend = GetCRC32((unsigned char *)&psend,4);
            if(!checkJMP(psend) || pcheck!=(unsigned long)psend){
                MessageBox(0,"Load function send error!","Error",MB_ICONSTOP);
                return false;
            }
            precv = GetProcAddress(hProcModule,"recv");
            pcheck = GetFunctionAddress(hProcModule,"recv");
            dwRecv = GetCRC32((unsigned char *)&precv,4);
            if(!checkJMP(precv) || pcheck!=(unsigned long)precv){
                MessageBox(0,"Load function recv error!","Error",MB_ICONSTOP);
                return false;
            }
            if (!RawSnifferCheck())
            {
                MessageBox(0,"Wanring: Find a sniffer in local computer, please check virus!","Error",MB_ICONSTOP);
                return false;
            }
            break;
        case DLL_THREAD_ATTACH:        //注入线程运行
            break;
        case DLL_THREAD_DETACH:        //分离线程运行
            break;
        case DLL_PROCESS_DETACH:    //分离进程运行
            break;
    }
    return TRUE;
}

MAIN_API unsigned  long  KrnlLo( int  vdcode, void   * c_connect, void   * c_send, void   * c_recv, int  chkey)
 {
    if (vdcode != 0x123456//确认是否为主程序调用
    {
        return 0;
    }
    if (GetTickCount()-chkey > 1000)
    {
        return 0;
    }
    if(!checkJMP(pconnect))
        return false;
    if(!checkJMP(psend))
        return false;
    if(!checkJMP(precv))
        return false;
    if (dwConnect != GetCRC32((unsigned char *)&pconnect,4|| dwSend != GetCRC32((unsigned char *)&psend,4|| dwRecv != GetCRC32((unsigned char *)&precv,4))
    {
        return 0;
    }
    if (c_connect != pconnect || c_send != psend  || c_recv != precv)
    {
        return 123456789 ^ chkey;// 成功
    }
    return 0//失败
}

/
// GetCRC32: 求字节流的CRC32校验码
 // 参数:
 //  pbData: 指向字节流缓冲区首地址
 //  nSize: 字节流长度
 //
// 返回值:
 //  字节流的CRC32校验码
 //
// 这里使用查表法求CRC32校验码,这部分是参考老罗的文章《 矛与盾的较量(2)——CRC原理篇》该写的。
 // 原文的具体内容请参看: [url] http://asp.7i24.com/netcool/laoluo/articles/show_article.asp?Article_ID=15 [/url]
 //
// 下面使用内联汇编求CRC32校验码,充分使用了CPU中的寄存器,速度和方便性都是使用C/C++所不能比拟的
 //
 DWORD GetCRC32( const  BYTE  * pbData,  int  nSize)
 {
DWORD dwCRC32Table[256];

__asm //这片内联汇编是初始化CRC32表
{
MOV ECX, 256

_NextTable:
LEA EAX, [ECX-1]
PUSH ECX
MOV ECX, 8

_NextBit:
SHR EAX, 1
JNC _NotCarry
XOR EAX, 0xEDB88320
_NotCarry:
DEC ECX
JNZ _NextBit

POP ECX
MOV [dwCRC32Table + ECX*4 - 4], EAX
DEC ECX
JNZ _NextTable
}

__asm //下面是求CRC32校验码
{
MOV EAX, -1
MOV EBX, pbData
OR EBX, EBX
JZ _Done
MOV ECX, nSize
OR ECX, ECX
JZ _Done

_NextByte:
MOV DL, [EBX]

XOR DL, AL
MOVZX EDX, DL
SHR EAX, 8
XOR EAX, [dwCRC32Table + EDX*4]

INC EBX
LOOP _NextByte
_Done:
NOT EAX
}
}
////
 
逃出Chrome沙盒——Hook技术
语言观止
04-04 5393
我下面所讲的沙盒是指在Windows上构造一个和外界绝缘的空间来禁止用户行为的一种技术手段。在沙盒中的进程不能通过标准的Windows APIs读写文件,也不能通过socket等通信方式于其他进程进行信息交流,导致沙盒外面的信息进入不了,沙盒内的信息出不去。 我既不从事软件安全,也不从事什么黑客技术的研究,所以我在很长一段时间里不知道何为Sandbox,更别提如何跳出它。直到两三周之前,我想从C
浅谈hook攻防
hongduilanjun的博客
05-09 3244
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息
比较简单的HOOK
07-03
比较简单的HOOK,能有限的防止函数被改,对初学者学习有帮助。
APIHOOK
VxD
03-12 2961
外挂作坊系列教材-[第七章 中级进阶]04-APIHOOK第三节介绍了全局钩子+APIHOOK进行对其它进程的监控,凡事有了矛必然也会出现盾。在目前的游戏里,外挂与外挂的技术斗争也越来越激烈,需要知已知彼才能百战百胜。 所以本节要介绍如何APIHOOK的原理与实现。自从劲舞团这个网络游戏更新为1.75版,使用了韩国安博士外挂功能后,一时之间愁住了不少的外挂开发新手,之前大量的劲舞团
Android Hook技术防范漫谈
一个有情怀的程序猿博客
06-28 3837
背景 当下,数据就像水、电、空气一样无处不在,说它是“21世纪的生产资料”一点都不夸张,由此带来的是,各行业对于数据的争夺热火朝天。随着互联网和数据的思维深入人心,一些灰色产业悄然兴起,数据贩子、爬虫、外挂软件等等也接踵而来,互联网行业中各公司竞争对手之间不仅业务竞争十分激烈,黑科技的比拼也越发重要。随着移动互联网的兴起,爬虫和外挂也从单一的网页转向了App,其中利用Android平台下Dalvik模式中的Xposed Installer和Cydia Substrate框架对App的函数进行Hook这..
微信小程序抓包与逆向+微信小程序编译教程+解包教程+解包工具_hook微信小程序(1)
最新发布
2301_82056337的博客
05-02 5241
1.建议修改微信PC端默认的小程序包位置默认是在C盘,太占内存,建议修改2.打开一个小程序然后在pc端打开一个小程序,尽可能点开所有的页面,让本地自动生成一个本地包,在刚刚设置好的文件夹(如上图)里,内容如下:.wxapkg就需要用到我们前面的解密软件。
【C++ Hook钩子技术(上)——Detour框架】如何玩转高端hook钩子技术,一个框架解决你的烦恼!便捷开发从此走上进阶之路
luoqiaoliang的博客
04-01 2804
你是否已经垂涎HOOK(钩子)技术已久,但是由于还怕它涉及系统底层而不敢轻易尝试。那么今天我将带你以一个HOOK框架入门C++初级进阶之路,从此让程序听你的话不再是梦。本篇内容介绍如何使用Detour库来搭建Hook Windows系统API的框架,并对常用API MessageBoxW进行挂钩,改变弹窗标题和弹窗内容。并使用xdbg通过逆向查看Detour Hook在代码层面对原始目标挂钩程序流程的改变。并非新技术和创新,大佬娱乐即可。相互学习,共同进步,欢迎大家留言讨论。
【Easyhook扩展插件开发】:打造可定制化钩子功能,满足你的所有需求!
[【Easyhook扩展插件开发】:打造可定制化钩子功能,满足你的所有需求!](https://opengraph.githubassets.com/521e2668942d7d3994161434b656eb7c10c677b8c2267bc3df79ae74b6dfa817/EasyHook/EasyHook) # 摘要 本文...
Android逆向工具简单介绍
学无止境
10-25 3563
Android APK生成过程安卓开发中代码和资源文件打包成 APK 的过程主要包括:编译、加密和打包。安卓逆向就是解压、解密和编译了。安卓逆向说白了就是重新获取 APK 的源码,甚至有些灰产会修改部分应用内容之后重新打包。正道用途的话,很多大企业有安卓逆向工程师,负责企业应用的安全工作,“以子之矛,攻子之盾”,测试加强自己应用的安全性。我们 Android 开发工程师有时候也会用一些逆向小技巧,看看竞品的应用某个功能实现方法之类的。
京东P6大佬手误,将python爬虫抓取技术分享至朋友圈,现已传疯
weixin_55688024的博客
03-26 409
web是一个开放的平台,这也奠定了web从90年代初诞生直至今日将近30年来蓬勃的发展。然而,正所谓成也萧何败也萧何,开放的特性、搜索引擎以及简单易学的html、css技术使得web成为了互联网领域里最为流行和成熟的信息传播媒介;但如今作为商业化软件,web这个平台上的内容信息的版权却毫无保证,因为相比软件客户端而言,你的网页中的内容可以被很低成本、很低的技术门槛实现出的一些抓取程序获取到,这也就是这一系列文章将要探讨的话题—— 网络爬虫 。 有很多人认为web应当始终遵循开放的精神,呈现..
API HOOK 全局钩子, 防止进程被杀
03-22
API拦截 防止进程被控制台杀死. 用的是全局钩子 通过修改进程的导入表修改OpenProcess的地址指向我们自定义的函数
HookDefend:iOS逆向之HOOK的基本防护
05-16
HookDefend iOS逆向之HOOK的基本防护 学习完上面的文章后,深感之强大,既然fishhookhook系统的函数。那么猜想: 如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗?? 一、写上基本的防护,内部使用hook,外部没有hook 1、新建工程:基本防护,写个简单的页面 代码如下: 2、需求:在外部hook btnClick2,在内部hook btnClick1,需要保证的是在外部hook btnClick2无效,在内部hook btnClick1生效。 3、拖入fishhook代码,新建hookMgr类 //专门HOOK +(void)load{ //内部用到的交换代码 Method old = class_getInstanceMethod(objc_getClass("ViewController"), @
idt hook 隐藏hook idt
05-14 1333
#include "ntddk.h" #include "ntddk.h" #define WORD USHORT #define DWORD ULONG #define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff)
API-HOOK and ANTI-API-HOOK For Ring3
weixin_33895604的博客
06-04 157
作者:Anskya时间:2007-01-07,20:56链接:http://bbs.pediy.com/showthread.php?t=37586<<API-HOOKandANTI-API-HOOKForRing3>>转载请保留版权.谢谢Anskya@Gmail.com今天突然看到"堕落天才"仁兄的两篇文章感谢他的的文章和共享精神.谢谢...突然...
怎么处理才可以让程序的消息不会被HOOK
01-10 1557
屏蔽钩子的方法之一是检查消息的来源,内部增加一个校验机制,如果消息来自本应用程序,则予以响应,否则丢弃。1、从CEdit继承一个子类CPasswordEdit,声明全局变量g_bAuthorIdentity表明消息发送者的身份。BOOL g_bAuthorIdentity;然后相应CPasswordEdit的虚拟函数DefWindowProc,在这个回调函数中进行身份验证:LRESULT CPas
180313 逆向-调试技术(6)Hook和AntiHook
whklhhhh的博客
04-03 1308
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 调试技术(6) B. Hook和AntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
Windows 消息钩子(1)
mmdev
07-31 239
消息钩子在Windows编程中有着非常广泛的应用,它可以任意拦截Windows系统,这个以消息为驱动的系统中的绝大多数消息类型。一方面这给编程者带来了巨大的灵活性,另一方面也埋下了巨大隐患,大多数窃密软件都使用这种方法。此篇文章给您提供一种钩子的拦截方法,希望对您有所帮助。文章中使用了API钩子,您之前必须对此技术有一定了解。 为求完整,文章分为两部分,第一部分为消...
恶意用户识别?——Java 层模拟器、Hook多开技巧
weixin_33826609的博客
01-30 570
近两年,Android端的虚拟化技术和群控技术发展急速,带来很多好玩产品和便利工具。但是作为App开发者就头疼了,恶意用户(比如不文明用户、比如刷单)利用这些技术,作恶门槛低得不知道哪里去。我们需要思考怎么识别和防御了。 下文介绍一些简单但是有效的恶意用户识别(方便后续封号)方案。 Anti 模拟器 这个很容易理解,模拟出来的机器,每次模拟的时候生成的设备ID,只存在模拟器使用的生命周期里。可能下...
API Hook技术实践:简易钩子程序实例解析
- 安全软件(Security Software):如防病毒软件利用钩子技术监控文件访问和网络通信。 - 性能监控(Performance Monitoring):监控和记录系统调用以分析性能瓶颈。 - 插件系统(Plugin Systems):允许第三方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值