某同学的inline hook检测程序简单逆向分析

最新推荐文章于 2023-05-28 11:16:45 发布
原创 最新推荐文章于 2023-05-28 11:16:45 发布 · 2.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #汇编 #exe #引擎 #虚拟机 #测试

本文简要介绍了对一个inline hook检测程序的逆向分析过程。该程序在虚拟机环境下运行成功,但在主机上导致系统崩溃。程序通过发送IOCTL请求分配内存,并使用复杂的反汇编引擎进行inline hook检测,遇到异常时会调用打印函数显示错误信息。
 

测试了下,主机上完全不行,虚拟机上运行成功过一次,然后运行了其他的ARK就BSOD的了。没有具体的分析dump文件;检测inline hook的结果不是很完善,且有一部分的错误. 简单说说我对程序的静态分析吧:

1. EXE运行后,得到NtQuerySystemInformation函数地址,传递SystemModuleInformation号获取系统模块信息,取得系统的基址和大小,并显示出来 - MoudleName,BaseAddress,ImageSize
2. 把ntoskrnl用LoadLibrary加载到内存中,方便后面的和内存对比分析
3. 调用GetProcAddress得到KeServiceDescriptorTable的地址,总数
最低0.47元/天 解锁文章
C2远控篇&C&C++&InlineHook挂钩&动态API调用&突破内存加密&导入表检测
2302_80396242的博客
06-18 990
由于杀软并不是一直扫描内存,而是间隙性的扫描敏感内存,因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。1、Inline hook,应用层的注入hook,通过在内存中找到想要hook函数地址,并在其之前加入自己构造的跳转指令,当被hook位置执行时,便可以跳转到hook使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。//这里就是把定义好的跳转指令写入到我们需要hook的api的前5个字节中。
got表hookinlinehook的优缺?(面试题)
SXXYNHHXX的博客
03-10 1070
GOT(Global Offset Table)HookInline Hook 是两种常见的函数劫持(hooking)技术,广泛用于逆向分析、动态调试、函数拦截等场景。两者各有优缺点,适用于不同需求。Android Hook技术学习——常见的Hook技术方案总结。在实际应用中,通常结合两者使用。
简单INLINE HOOK检测
cackeme的专栏
09-24 4296
/*  @desc:目前只检测简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
用开源反汇编引擎检测inline hook
12-10
用开源反汇编引擎检测inline hook
内核所有模块导出函数inlinehook检测
cqyczj的专栏
04-26 1166
主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inlinehook。所以各种狡诈的inlinehook伎俩(mov eax ,xxxx add eax,xxxx,call eax)是逃不过检测的,除非它修改原始磁盘文件。不过可惜,在比较之前是可以进行md5验证的。若原始磁盘文件被修改,显然是昭然若揭了
检测API函数的InlineHook
weixin_30500663的博客
07-28 258
检测API函数的InlineHook 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName) 2 { 3 HMODULE hModule = GetModuleHan...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
如何区分ssdt hookinline hook钩子
01-25
4. **隐蔽性**:Inline Hook通常比SSDT Hook更难被检测,因为不涉及系统表的改动。 5. **复杂性**:SSDT Hook相对简单,只需要替换SSDT表中的指针;而Inline Hook需要理解目标函数的机器码,实现起来较为复杂。 在...
Android Arm Inline Hook.pdf
最新发布
04-18
Android Arm Inline Hook技术是Android平台下逆向工程的重要手段之一,它允许开发者在不影响原程序功能的前提下,改变程序执行流程,将程序的执行引向开发者指定的函数。Inline Hook的关键在于替换目标函数的起始...
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
InlineHook3(单步异常挂钩,监测调试器行为)
寻梦&之璐
05-11 376
#include <iostream> #include<Windows.h> char* p; int i; void JmpTarget(); void __declspec(naked) IdtEntry() { p = (char*)0x8003f120; for (int i = 0; i < 64; i++) { *p = ((char*)JmpTarget)[i]; p++; } __asm {
kernel inline hook 绕过vice检测
03-21 2632
创建时间:2005-11-05文章属性:原创文章提交:jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到
检测内核已加载模块的所有导出函数是否被inlinehook
cdsntxz158的专栏
09-26 987
转自看雪:http://bbs.pediy.com/showthread.php?t=110216 好像此论坛还没有谁发过吧,在其他论坛见过,但是有下载限制的。无奈,只好自己写,发出来供像偶这样起步较晚的朋友们参考参考,高手就略过吧,哈哈 主要功能:检测内核已加载模块的所有导出函数是否被inlinehook。 实现方法:将内存中的模块与原始磁盘文件来做比对,若不同,则此函数被inli
[翻译]理解/检测 Inline Hooks/ WinAPI Hooks (Ring3)
云守护的专栏
12-14 714
转自:https://bbs.pediy.com/thread-223317.htm 你有没有想过,恶意软件是如何从web浏览器中获取口令密码凭证的呢?最流行的攻击方法是Man-in-The-Browser (MiTB),这也是大家所说的内联挂钩(inline hooking或者detours)。内联钩子技术在恶意软件中非常常见而且难以置信的好用。有了内联钩子技术后,恶意软件就成为了进程
自己动手,制作inline hook扫描工具
M-先生
03-28 3204
很久没来论坛了,今天来跟大家一起讨论一下关于检测内核中inline hook IAT hook方面的知识 我们平时常用的工具中xuetr和kd都提供了这个功能,比较方便地可以让我们看出来是谁在我们的电脑中做了什么手脚 不过现在有很多软件或者游戏不希望我们看到它们做的种种坏事,纷纷封杀掉这些工具, 更有甚者检测到这类工具启动立马给我来个蓝脸或者重启 这也太霸道了,这到底成了谁的电脑了? 于
Inline Hook
FlowShell的专栏
08-02 1422
一、 什么是 inline hook inline hook 就是在运行的流程中插入跳转指令(call/jmp)来抢夺程序运行流程的一个方法。 好了那么问题就来了: 1. 插入怎么样的跳转指令     一般为 相对JMP(0xE9) + 4字节地址,方便计算          公式:源地址 + 相对偏移 = 目的地址         公式:目的地址 - 源地址 = 相对偏移 2.
Inline HOOK
Tandy12356_的博客
05-28 5862
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
Android Hook框架adbi的分析(2)--- inline Hook的实现
Fly20141201. 的专栏
07-09 5833
一、 Android Hook框架adbi源码中inline Hook实现部分的代码结构 Android Hook框架adbi源码中inline Hook部分的实现代码结构示意图如下所示,hijack代码部分是前面的博客中提到的root下Android跨进程注入so的注入工具,instruments\base代码部分为inline Hook的操作实现,instruments\example代码部
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值