inline hook和IDT hook结合

最新推荐文章于 2019-01-03 17:18:55 发布
原创 最新推荐文章于 2019-01-03 17:18:55 发布 · 895 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #工具

本文介绍了一种结合inline hook与IDT hook的技术——一咬钩子,通过仅修改目标函数首字节触发异常,并利用IDT hook处理该异常,从而实现对函数流程的接管。这种方式能有效规避传统inline hook检测手段。
inline hook就是修改一个函数里面的几个字节为一条跳转指令,jmp到自己的函数中执行......

   IDT HOOK就是修改IDT表中正常的异常处理例程的入口函数,为自己的函数地址

   把这俩种思想结合起来就是""""一个字节钩子""""
   请看

    nt!NtOpenFile:
    80579fd0 8bff            mov     edi,edi
    80579fd2 55              push    ebp
    80579fd3 8bec            mov     ebp,esp

    对这个函数进行inline hook没什么问题.....但是我们这里只修改一个字节....所以不是inline hook  

    mov     edi,edi的机器码是8bff...........我们就把8b这个字节改下,就改成0xCD吧.....然后执行
    nt!NtOpenFile时候.....意味着执行了0xCD 0xFF 这个机器码表示的是INT 0XFF...呵呵.....然后就发生了异常......转到处理INT 0XFF的异常处理程序............我们可以IDT HOOK INT 0XFF.........所以就执行我们自己的函数了

     总结:::这种方法可以绕过现在很过工具的inline hook检测...因为我们只修改函数开头的一个字节...本质上说不是inline hook,没有jmp嘛.....

     但是修改了IDT.....随便DUMP一下IDT就知道是否异常拉..........所以检测IDT 还是很重要的...因为这张表对病毒来说还是可以利用的....除了这个""""一个字节钩子"""""还有键盘记录...禁止调试等..........

       接着你们就可以试下了...inline hook和IDT hook的代码看雪就有
   PS::我对HOOK基本是没什么兴趣....检测HOOK倒是有兴趣........所以在检测一个函数是否干净..看来还是要来个对0xCD的判断啊
c++注入思路inlink hook,ring3ring 0
qq_35490522的博客
08-27 1912
注入DLL的思路步骤: 1. 在目标进程中申请一块内存空间(使用VirtualAllocEx函数) 存放DLL的路径,方便后续执行LoadLibraryA 2. 将DLL路线写入到目标进程(使用WriteProcessMemory函数) 3. 获取LoadLibraryA函数地址(使用GetProcAddress),将其做为线程的回调函数 4. 在目标进程 创建线程并执行(使用CreateRemoteThread) std::string temp = W2Astring(strDllPath); in
断门 内联 钩子断门 内联 钩IDT inline hook
05-04
IDT内联钩子,可以做某些拦截IDT内联钩子,可以做某些拦截
inline hookIDT hook结合 收藏
yaneng的专栏
06-18 1153
inline hook就是修改一个函数里面的几个字节为一条跳转指令,jmp到自己的函数中执行......    IDT HOOK就是修改IDT表中正常的异常处理例程的入口函数,为自己的函数地址   把这俩种思想结合起来就是""""一个字节钩子""""   请看    nt!NtOpenFile:    80579fd0 8bff            mov     edi,edi  
关于Hook的一些理解
08-16 1285
我们平时所说的IDT Hook,Dispatch Hook,SSDT Hook...等,是指钩住IDT中断服务例程,Dispatch 例程SSDT系统服务,这是Hook应用上的分类,也就是拦截它们的调用,要解决的是钩什么的问题。Inline Hook是用来实现Hook的一种方式,它上面所说的Hook完全不是一个概念,它解决的是怎么钩的问题,一个是应用方式,一个是实现机制,IDT,Dispa
简单的IDT HOOK介绍
liujiayu2的专栏
06-30 1800
IDT即中断描述表。当然系统发生中断时(有可能是CPU中断,也有可能是I/O中断等)。系统会通过中断向量查找IDT保存的ISR(中断服务程序)来调用相关的处理例程。IDT Hook就是替换这个ISR。 也许上面的过程你不是很明白。我们具体的了解下过程。 IDT是一个有256个入口的线性表。每个入口大小为8字节。每个入口值我们称为中断向量(0..255)。比如 int 30。30即中断向
win7 x64 inline hook的尝试
Jaylon的专栏
07-11 3893
最近因为虚机性能问题,需要验证下是不是因为内核态加锁时间过长导致,所以需要在内核态hook两个内核函数:KeAcquireSpinLockAtDpcLevelKeReleaseSpinLock,虚机的操作系统是win7 64位。所以在内核态hook,我采用inline hook的方式,有借鉴的blog:https://blog.youkuaiyun.com/u013761036/article/detail...
Windows内核态Inline Hook演示及代码分享
但内核态Inline Hook则复杂得多,因为内核态涉及到底层硬件操作系统的核心功能,需要格外注意安全性稳定性。 从本文件所提供的信息来看,"Inline Hook Demo" 是一个演示程序,针对的是Windows内核态的Inline ...
基于inline hook的PS/2与USB键盘兼容日志记录实现
与SSDT HookIDT Hook相比,inline hook的优势在于其极高的隐蔽性灵活性。其实现原理是在目标函数入口处插入一条跳转指令(通常是x86平台下的`jmp rel32`),使其执行流重定向至我们自定义的代理函数(Detour ...
深入探索2010年内核HOOK技术源码
描述中提到了2010年的源码,虽然自述为“比较烂”,但其内容涉及多种内核级别的钩子(HOOK)技术,包括IAT HOOK、SSDT HOOK、EAT HOOKINLINE HOOK IDT HOOK。尽管作者自谦说记忆已经模糊,但这类资料通常对于...
IDT hook KiTrap03
weixin_30632899的博客
03-23 247
关于idt的基本知识就不进行赘述了,先看一个例子 0x1000: mov eax,0 0x1006: Int 3 ;------->进入内核,找到中断处理例程KiTrap03 0x1007: Mov eax,1 这段代码执行,触发3号中断,然后开始执行KiTrap03例程,要知道,执行完中断以后还是要回到原来的程序处继续执行...
Inline Hook
enjoy5512的博客
06-02 6742
Inline Hooking的实现
简单的修改IDT,实现hook page_fault中断处理进程
warriorpaw的专栏
09-28 3136
一个想法的副产物,,, 参考 http://stackoverflow.com/questions/2497919/changing-the-interrupt-descriptor-table 不多说 就上代码算了。。。 Centos 5.5 编译测试通过 #include #include #include typedef struct desc_struct gat
InlineHOOK
九月飞雪的博客
01-03 4575
//inline hook 实际上就是指 通过改变目标函数头部的代码来使改变后的代码跳转至我们自己设置的一个函数里,产生hook. #include <windows.h> #include <stdio.h> //定义一个与MessageBoxA类型一致的函数指针。 typedef int (WINAPI * MessageBox_type)(HWND hWnd, ...
IDT + FisherVector (by C++)我的实践
shanyicheng1111的博客
06-11 2202
准备写一系列总结, 总结过去一年,我在 Video Action Recognition 方向跑过的实验,写过(改过)的程序,算是对在新加坡这一年的交代。不悔梦归处,只恨太匆匆。以下代码在我的github:https://github.com/HuNiuC/iDT-FV-for-action-recognitonIDT + FisherVector编码1. IDT 特征提取IDT 的官方代码在这里...
IDT Hook
yaneng的专栏
06-18 2136
这两天读了combojiang(此君真乃天牛也)一篇关于IDT Hook的文章,于是自己实现了一个Hook鼠标中断服务的程序,自己也总结一下。IDT即Interrupt Descriptor Table,描述了系统硬件/软件中断以及异常,这张表总共描述了0x7ff个中断(XP SP2),表中的每个元素代表一个中断门(Interrupt Gate),其格式如下所示:在我的程序中将该结构定
了解_idt_hook
05-11 364
#include "ntddk.h" #define WORD USHORT #define DWORD ULONG #define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << ...
键盘过滤_IDT中断表与_修改IOAPIC重定位表寄存器_hook_单核
06-17 965
#include <ntddk.h> //#define BUILD_FOR_IDT_HOOK// 这一句存在,则本程序编译为替换INT0x93的做法。如果不存在,则为IOAPIC重定位做法。 typedef unsigned char P2C_U8;// 由于这里我们必须明确一个域是多少位,所以我们预先定义几个明确知道多少位长度的变量,以避免不同环境下编译的麻烦. typedef ...
rootkit hook之[四]-- IDT Hook
yaneng的专栏
06-18 1663
标 题: 【原创】rootkit hook之[四]-- IDT Hook作 者: combojiang时 间: 2008-02-19,17:05链 接: http://bbs.pediy.com/showthread.php?t=59867今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。我们首先来
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值