hook未导出native api的好办法

最新推荐文章于 2025-01-07 22:14:55 发布
原创 最新推荐文章于 2025-01-07 22:14:55 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #api #image #byte #header #dos

本文介绍了一种避免硬编码SSDT服务号的方法,通过映射ntdll.dll并直接从DLL检索所需函数位置,确保了驱动程序在不同操作系统版本间的兼容性。 
昨天写的那个 
hook ssdt的驱动,用的是硬编码的办法,这样在不同的系统中由于NtShutdownSystem的服务号都不相同,所以在不同的操作系统上代码都要做修改,这个比较不爽.今天听老大PJF说有避免硬编码的方法,google了下,发现下面的文章,代码稍微改了改,用在我的驱动中,果然好使.文章贴在下面:
-------------------------------------------------------------------------------------------
from http://www.rootkit.com

Hardcoding the positions seems a poor solution, since it means after a new service pack, the rootkit may no longer work and become discovered.

As I have found the code on this site extremely helpful, I think it is only fair that I return the favour ;-)

I have implemented the method described in previous posts, whereby I have mapped a view of ntdll.dll into the process space of whoever loads the driver initially, and then retrieve the required function positions directly from the dll.

This was relatively simple to do, and only requires knowledge of the pe file format, and a few undocumented apis.

Using the function pasted below, when hooking you simply do as follows:


RtlInitUnicodeString(&dllName, L"//Device//HarddiskVolume1//Windows//System32//ntdll.dll");
functionAddress = GetDllFunctionAddress(functionName, &dllName);
position = *((WORD*)(functionAddress+1));
    
g_OriginalZwCreateProcessEx = (ZWCREATEPROCESSEX)(KeServiceDescriptorTable.ServiceTableBase[position]);


and here's the function GetDllFunctionAddress:


DWORD GetDllFunctionAddress(char* lpFunctionName, PUNICODE_STRING pDllName) 
{
    HANDLE hThread, hSection, hFile, hMod;
    SECTION_IMAGE_INFORMATION sii;
    IMAGE_DOS_HEADER* dosheader;
    IMAGE_OPTIONAL_HEADER* opthdr;
    IMAGE_EXPORT_DIRECTORY* pExportTable;
    DWORD* arrayOfFunctionAddresses;
    DWORD* arrayOfFunctionNames;
    WORD* arrayOfFunctionOrdinals;
    DWORD functionOrdinal;
    DWORD Base, x, functionAddress;
    char* functionName;
    STRING ntFunctionName, ntFunctionNameSearch;
    PVOID BaseAddress = NULL;
    SIZE_T size=0;

    OBJECT_ATTRIBUTES oa = {sizeof oa, 0, pDllName, OBJ_CASE_INSENSITIVE};

    IO_STATUS_BLOCK iosb;

    //_asm int 3;
    ZwOpenFile(&hFile, FILE_EXECUTE | SYNCHRONIZE, &oa, &iosb, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT);

    oa.ObjectName = 0;

    ZwCreateSection(&hSection, SECTION_ALL_ACCESS, &oa, 0,PAGE_EXECUTE, SEC_IMAGE, hFile);
    
    ZwMapViewOfSection(hSection, NtCurrentProcess(), &BaseAddress, 0, 1000, 0, &size, (SECTION_INHERIT)1, MEM_TOP_DOWN, PAGE_READWRITE); 
    
    ZwClose(hFile);
    
    hMod = BaseAddress;
    
    dosheader = (IMAGE_DOS_HEADER *)hMod;
    
    opthdr =(IMAGE_OPTIONAL_HEADER *) ((BYTE*)hMod+dosheader->e_lfanew+24);

    pExportTable =(IMAGE_EXPORT_DIRECTORY*)((BYTE*) hMod + opthdr->DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT]. VirtualAddress);

    // now we can get the exported functions, but note we convert from RVA to address
    arrayOfFunctionAddresses = (DWORD*)( (BYTE*)hMod + pExportTable->AddressOfFunctions);

    arrayOfFunctionNames = (DWORD*)( (BYTE*)hMod + pExportTable->AddressOfNames);

    arrayOfFunctionOrdinals = (WORD*)( (BYTE*)hMod + pExportTable->AddressOfNameOrdinals);

    Base = pExportTable->Base;

    RtlInitString(&ntFunctionNameSearch, lpFunctionName);

    for(x = 0; x < pExportTable->NumberOfFunctions; x++)
    {
        functionName = (char*)( (BYTE*)hMod + arrayOfFunctionNames[x]);

        RtlInitString(&ntFunctionName, functionName);

        functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1; // always need to add base, -1 as array counts from 0
        // this is the funny bit.  you would expect the function pointer to simply be arrayOfFunctionAddresses[x]...
        // oh no... thats too simple.  it is actually arrayOfFunctionAddresses[functionOrdinal]!!
        functionAddress = (DWORD)( (BYTE*)hMod + arrayOfFunctionAddresses[functionOrdinal]);
        if (RtlCompareString(&ntFunctionName, &ntFunctionNameSearch, TRUE) == 0) 
        {
            ZwClose(hSection);
            return functionAddress;
        }
    }

    ZwClose(hSection);
    return 0;
}
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Native
kfyzjd2008的博客
03-02 1654
一、使用工具: apk:攻防世界中CTF题,安装后图表显示黑客精神 xman.apk 工具:IDA,jadx 二、分析: 1、首先jadx打开app分析java代码 从上图可以看出关键判断点为MyApp中m的值,从图二可以看出MyApp的方法注册在native层。 有initSN、saveSN、work三个函数。 2、解压apk用IDA打开libmyjni.so文件。导出函数中不能直接搜索到上面三个函数,我们直接双击JNI_ONLOAD,F5查看伪代码 当我们手动更改Get.
Frida-Hook-Native层操作大全
qq_24481913的博客
03-07 4875
可以看到在onLeave中有一个参数retval,这个retval,就是我们hook上的程序的返回值,我们可以使用retval.replace(val)来修改返回值。但是我们需要注意的是strcmp可能不止调用一次,因此我们需要判断strcmp的第一个参数是否为0我们才进行操作,不然hook可能会一直循环输出。程序在cmpstr中使用了strcmp函数,那么我们只需要拿到strcmp函数的传入参数就可以知道程序的正确输入了。获取了strcmp的地址就可以使用之前给的模板进行Hook了。
使用frida Hook 导出函数
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
04-10 3994
样本apk下载地址:https://pan.baidu.com/s/1QcMnrWBooGMJDHKem6kzSA 提取码: fkfi 界面如下,就是判断name和code是否输入正确。...
frida hook导出函数
技术博客记录
02-08 335
【代码】frida hook导出函数
inline hook导出函数PspTerminateProcess
weixin_30617737的博客
12-22 272
已经把代码附上了….以前的没什么修改,在搜索特征码时没有在非分页内存搜.可能会蓝屏,不过你应该做下适当修改–sysnap之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些导出函数时, 却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出 来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇...
windows 内核文档化API/导出文档化API/导出API
lixiangminghate的专栏
01-06 2207
导出函数:顾名思义,出现在导出表(EAT)里面的函数,可以给外部调用的函数,验证是否为导出函数的方法,熟悉逆向的朋友可以使用LordPE之类的工具查看,当然也可以使用GetProcAddress或者MmGetSystemRoutineAddress之类的函数来获取地址,如果成功的话就是导出函数。 非导出函数:这种函数是供自己调用使用的,不想提供给别人使用,当然也有方法可以获取函数地址,可以根据函
FridaHook(二)——Native函数
0nc3的博客
01-11 2131
下面是学习用Frida hook Native层的导出函数导出函数的记录。demo下载链接:https://pan.baidu.com/s/1ZCIeJXzeTpQ8uJ9Ew5nnGQ提取码:z94iHook导出函数主要是根据so文件中函数名来确定被Hook函数,较为简单。而Hook 导出函数是根据函数偏移量来确定被Hook函数,但是一定要注意在使用工具反编译时要选对架构。也可以用Hook 导出函数的方法来Hook导出函数
Native API 和一般 API 的 IAT Hook
09-03
描述中的“通过一种方式统一实现对Native API 和一般 APIhook”意味着我们要设计一个通用的方法来处理两种不同类型的API钩子。Native API通常指的是Windows API,它们是操作系统内核直接提供的功能,而一般API则...
Frida Hook 入门(3)| Native 层代码 Hook 实战
weixin_65409651的博客
01-07 1633
在 Android 应用中,Native 层代码(通常用 C/C++ 编写)是很多安全研究和动态分析的重点领域,尤其是处理加密、解密、JNI 调用的场景。相比 Java 方法,NativeHook 分析的难度更高,但 Frida 的强大功能让这一切变得简单。理解 NativeHook 的基本原理使用 Frida Hook Native 函数实战案例:Hook JNI 函数NativeHook 的常见挑战与解决方案。
frida so hook 导出函数
weixin_33836874的博客
05-21 3245
先分析encode。 发现是一个导出函数。ida找它,如图所示。查看引用,找到调用它的函数。获取它在文件中的偏移,如图所示。hook 地址时记得加1。 # -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ var soAddr = Module.findBaseAddress("...
学习内核注射DLL到用户态进程空间
ccx_john的专栏
10-18 1870
/* InjectEye的功能是:当系统中有进程加载urlmon.dll时,注射功能代码到该进程中,修改urlmon.dll!DllMain头部的5个字节数据使之跳转到我们的功能代码中,抢先执行,即注射mxEye.dll到该进程中。 */ /* FileName:    InjectEye.h Author:    ejoyc Data    :    [03/05/2010]
内核 HOOK ZwMapViewOfSection
残酷な天使
10-06 3892
转自:http://lwglucky.blog.51cto.com/1228348/284829  有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT中的这个函数,过滤出是加载Kernel32.
Ring0上调用导出Zw函数通用函数
huobengle
11-09 388
转自虾总前段时间写的一段无聊代码,可能对大家有点用。用于在驱动里调用一些没有直接导出的Zw函数,如ZwProtectVirtualMemory。在此感谢alpha提供思路。BOOLEAN CallZwFunction(CONST CHAR *FunctionName,PVOID pCallRet,ULONG ArgNum,...) { char *vl; BOOLEAN retval = FA...
Android逆向之旅---Hook神器家族的Frida工具使用详解
FlyPigYe的博客
05-16 1万+
一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍 和 Android中Hook神器SubstrateCydia工具介绍 这两篇文章非常重要一个是Hook Java层的时候最常用的Xposed和Hoo...
【驱动之四】Nt和Zw
seedluo815的专栏
05-05 1370
Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。  ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpenProcess。仔细看
Zw函数与Nt函数的分别与联系
Tommy(凌飞)的专栏
08-24 1331
Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。N久前的我,也是相当的迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。 ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpe
基于frida框架Hook native中的函数(1)
热门推荐
Fly20141201. 的专栏
06-24 1万+
0x01 前言关于android的hook以前一直用的xposed来hook java层的函数,对于so层则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
如何快速定位native方法在对应so中的位置
云守护的专栏
03-25 7369
转自:http://www.jianshu.com/p/03800b72a367 前言 在逆向的时候,有些应用有一大堆的so,而且都是提前加载好,有的so甚至做了处理,很难看出函数名。本文讲述的方法可以快速定位: native方法的实现在哪个so中在so中的哪个位置 原理 我们知道,在使用native方法之前,需要先load对应的so。 在load so的时候
Frida native hook
最新发布
11-13
<think> 首先,用户的问题是关于Frida进行原生Hook的使用方法和示例。系统级指令要求我使用中文回答、正确使用LaTeX格式(但数学表达式可能不适用这里)、生成相关问题、在引用末尾添加引用标识,并确保回答结构清晰。 回顾用户的查询:用户提供了几个引用,但这些引用似乎是之前的上下文或示例,并不是用户真正的需求。引用[1]到[3]是关于Frida hook的尝试、教程和Java函数hook的方法。用户说:“上述引用仅供参考,并不是用户真正的需求,请尽可能多的参考用户上一次的问题和你的回答。” 然后用户明确表示:“我想查找Frida进行原生Hook的相关信息,可能包括使用方法、教程、示例等 请问Frida进行原生Hook的使用方法和示例”。 所以,我需要专注于用户当前的问题:Frida进行原生Hook的使用方法和示例。原生Hook指的是hook原生代码,比如C/C++库,而不是Java代码。Frida支持hook原生函数,尤其是在Android或iOS上。 关键点: - 用户想要原生Hook的使用方法和示例。 - 我需要参考提供的引用,但它们是辅助性的。引用[2]提到hook Native函数,引用[3]涉及到发送消息,这可能是原生hook的一部分。 - 我的回答应该结构清晰,逐步解决问题。 - 生成相关问题作为结尾。 - 在引用末尾添加引用标识。 结构化回答: 1. **介绍**:简要解释什么是原生Hook和使用Frida。 2. **使用方法**:概述步骤,如设置环境、编写脚本等。 3. **示例**:提供一个简单的原生Hook示例代码。 4. **引用**:如果需要,引用相关部分。 5. **相关问题**:生成2-3个相关问题。 内容来源: - 从引用[2]:提到了hook RegisterNative函数和通过USB连接。 - 从引用[3]:提到了发送消息和读取内存,可能是原生hook的示例。 - 我自己的知识:Frida可以通过JavaScript或Python脚本hook原生函数。例如,在Android上hook一个C函数。 示例脚本: - 引用[3]中有一个代码片段:`send("mono_image_open_from_data_with_name("+Memory.readCString(args[5])+","+Memory.readCString(args[0])+")");` 这看起来像是hook一个原生函数后发送消息。 - 我可以基于这个构建一个简单的示例。 步骤: 1. 安装Frida和相关工具。 2. 编写JavaScript脚本来hook原生函数。 3. 运行脚本连接到设备。 回答结构: - 开头:回应查询。 - 主体: - 什么是原生Hook。 - 使用方法:包括环境设置、脚本编写。 - 示例:给出代码和解释。 - 结尾:添加相关问题。 引用标识:在引用参考的部分末尾添加[^1]、[^2]等。例如,如果提到引用[2]的内容,就加[^2]。 生成相关问题: - 例如:1. Frida原生Hook的常见问题?2. 如何调试原生Hook?3. Frida在iOS上的原生Hook方法? 确保中文回答。 </think> ### Frida进行原生Hook的使用方法和示例 原生Hook是指使用Frida框架拦截和修改原生代码(如C/C++库或系统调用)的执行过程。这在Android、iOS等平台上常用于分析或修改底层函数的行为。以下是详细的使用方法和一个实际示例,基于Frida的JavaScript API实现。我会逐步解释过程,确保内容真实可靠。 #### 1. **原生Hook的基本使用方法** 要使用Frida进行原生Hook,需遵循这些步骤: - **环境准备**:安装Frida工具链(如Frida CLI、Frida-server),确保设备(如Android手机)已连接并开启开发者模式。引用[2]提到通过USB连接设备的方法:使用`frida.get_usb_device()`或指定设备ID连接[^2]。 - **编写脚本**:使用JavaScript编写Hook脚本,定义目标函数、拦截点(如函数入口/出口)和自定义逻辑。 - **注入脚本**:将脚本注入到目标进程,启动Hook。 - **调试与分析**:捕获函数参数、返回值或修改行为,通过Frida的`send()`函数输出结果。 关键API: - `Interceptor.attach()`:用于附加到原生函数地址。 - `Memory.readCString()`:读取内存中的字符串(常用于参数获取)。 - `send()`:发送消息到Frida控制台。 #### 2. **原生Hook示例:Hook一个Android原生函数** 假设我们要Hook Android中的一个原生C函数`libnative.so`中的`open_file(const char* path)`。以下是完整示例脚本(JavaScript),演示如何拦截函数调用、读取参数并修改返回值。 ```javascript // 加载Frida的Interceptor和Memory模块 Interceptor.attach(Module.findExportByName("libnative.so", "open_file"), { onEnter: function(args) { // args[0]是函数的第一个参数(path字符串) var filePath = Memory.readCString(args[0]); console.log("[Hook] 函数open_file被调用,文件路径: " + filePath); // 发送消息到Frida控制台 send("open_file参数: " + filePath); }, onLeave: function(retval) { // 修改返回值,例如强制返回错误码-1 console.log("[Hook] 修改返回值为-1"); retval.replace(-1); } }); ``` **示例解释**: - **目标函数**:`open_file`在`libnative.so`库中,我们通过`Module.findExportByName`定位其地址。 - **onEnter**:在函数执行前触发,读取参数`args[0]`(文件路径字符串),并输出到控制台。 - **onLeave**:在函数执行后触发,修改返回值`retval`为-1(模拟错误)。 - **输出**:使用`send()`发送消息,引用[3]中类似地展示了如何构造消息字符串[^3]。 **运行步骤**: 1. 在PC上启动Frida CLI:`frida -U -f com.example.app --no-pause` - `-U` 表示USB设备连接(如引用[2]所述[^2])。 - `-f com.example.app` 指定目标应用包名。 2. 加载脚本:在Frida CLI中输入`%load script.js`(script.js是上述脚本文件)。 3. 观察输出:当应用调用`open_file`时,控制台显示Hook消息和修改后的行为。 #### 3. **注意事项** - **地址定位**:如果函数地址知,使用`Module.enumerateExports()`列出所有导出函数。 - **错误处理**:添加`try-catch`块防止脚本崩溃。 - **性能影响**:Hook频繁调用的函数可能降低应用性能,建议在测试环境中使用。 - **跨平台**:该方法同样适用于iOS原生库。引用[1]提到通过Hook打开分析空间[^1]。 通过这个方法,您可以监控或修改任何原生函数,如加密算法、系统调用等。实际使用时,需根据目标函数签名调整参数索引(如`args[0]`对应第一个参数)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值