自写API绕过R3下所有HOOK

最新推荐文章于 2024-02-18 10:55:03 发布
最新推荐文章于 2024-02-18 10:55:03 发布 · 960 阅读 · 1

本文介绍了一个使用自定义函数模拟Windows API中的FindWindow函数的过程。通过分析底层调用流程,包括FindWindowW、InternalFindWindowExW及NtUserFindWindowEx等函数,作者实现了自己的FindWindow版本,并详细解释了如何通过初始化UNICODE_STRING结构体来传递类名和窗口标题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

拿FindWindow来做测试,先OD跟一下
HWND hWnd=::FindWindow(_T("SciCalc"),_T("计算器")); ::SendMessage(hWnd,WM_CLOSE,NULL,NULL);

为了方便分析参数,给FindWindow也传递了类名。
OD载入,bp FindWindowW,运行后断下来,来到FindWindowW里面
77D2C9C5 55 PUSH EBP 77D2C9C6 8BEC MOV EBP,ESP 77D2C9C8 33C0 XOR EAX,EAX 77D2C9CA 50 PUSH EAX 77D2C9CB FF75 0C PUSH DWORD PTR SS:[EBP+C] 77D2C9CE FF75 08 PUSH DWORD PTR SS:[EBP+8] 77D2C9D1 50 PUSH EAX 77D2C9D2 50 PUSH EAX 77D2C9D3 E8 8AFFFFFF CALL USER32.77D2C962 77D2C9D8 5D POP EBP 77D2C9D9 C2 0800 RETN 8
FindWindowW里面其实又调用了USER32!InternalFindWindowExW,这个函数接收5个参数,第三个是类名,第四个是标题,其他参数不用管,跟进去看下
77D2C964 55 PUSH EBP 77D2C965 8BEC MOV EBP,ESP 77D2C967 83EC 20 SUB ESP,20 77D2C96A 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10] 77D2C96D 56 PUSH ESI 77D2C96E 8B35 D814D177 MOV ESI,DWORD PTR DS:[<&ntdll.RtlInitUni>; ntdll.RtlInitUnicodeString 77D2C974 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 77D2C977 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 77D2C97A 57 PUSH EDI 77D2C97B 33FF XOR EDI,EDI 77D2C97D A9 0000FFFF TEST EAX,FFFF0000 77D2C982 897D EC MOV DWORD PTR SS:[EBP-14],EDI 77D2C985 897D FC MOV DWORD PTR SS:[EBP-4],EDI 77D2C988 0F84 F0540000 JE USER32.77D31E7E 77D2C98E 50 PUSH EAX 77D2C98F 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10] 77D2C992 50 PUSH EAX 77D2C993 FFD6 CALL ESI 77D2C995 FF75 14 PUSH DWORD PTR SS:[EBP+14] 77D2C998 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20] 77D2C99B 50 PUSH EAX 77D2C99C 897D EC MOV DWORD PTR SS:[EBP-14],EDI 77D2C99F 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX 77D2C9A2 FFD6 CALL ESI 77D2C9A4 FF75 18 PUSH DWORD PTR SS:[EBP+18] 77D2C9A7 FF75 E8 PUSH DWORD PTR SS:[EBP-18] 77D2C9AA FF75 F8 PUSH DWORD PTR SS:[EBP-8] 77D2C9AD FF75 0C PUSH DWORD PTR SS:[EBP+C] 77D2C9B0 FF75 08 PUSH DWORD PTR SS:[EBP+8] 77D2C9B3 E8 F4FDFFFF CALL USER32.77D2C7AC 77D2C9B8 5F POP EDI 77D2C9B9 5E POP ESI 77D2C9BA C9 LEAVE 77D2C9BB C2 1400 RETN 14这里面调用的是USER32!NtUserFindWindowEx,这个函数也是接收5个参数,第三个是类名,第四个是标题,其他参数同样不用管,不过这里为什么实际数据跟堆栈中不同呢,例如第三个参数PUSH DWORD PTR SS:[EBP-8],堆栈中类名的位置明明是EBP-C的啊。。。汇编菜鸟请指教
继续跟进去,就看到熟悉的系统调用了
77D2C7AC B8 7A110000 MOV EAX,117A 77D2C7B1 BA 0003FE7F MOV EDX,7FFE0300 77D2C7B6 FF12 CALL DWORD PTR DS:[EDX] 77D2C7B8 C2 1400 RETN 14
7C92E510 > 8BD4 MOV EDX,ESP 7C92E512 0F34 SYSENTER 7C92E514 > C3 RETN
我们其实要做的就是模拟NtUserFindWindowEx这个函数,直接上代码
#pragma pack(1) typedef struct _UNICODE_STRING{ USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING,*PUNICODE_STRING; #pragma pack() typedef VOID (__stdcall *PRtlInitUnicodeString)(IN OUT PUNICODE_STRING DestinationString, IN PCWSTR SourceString); PRtlInitUnicodeString RtlInitUnicodeString=(PRtlInitUnicodeString)GetProcAddress(GetModuleHandle(_T("ntdll.dll")),"RtlInitUnicodeString"); __declspec(naked) VOID __stdcall kiFastSystemCall()//模拟kiFastSystemCall { __asm { mov edx,esp; _EMIT 0x0F _EMIT 0x34 } } __declspec(naked) HWND __stdcall MyFindWindow(int a, int b, PUNICODE_STRING puClassName, PUNICODE_STRING puCaption, int d ) { __asm { mov eax,0x117A; call kiFastSystemCall; retn 0x14; } }调用
UNICODE_STRING pu_className,pu_Caption; RtlInitUnicodeString(&pu_className,_T("SciCalc")); RtlInitUnicodeString(&pu_Caption,_T("计算器")); HWND hWnd=MyFindWindow(NULL,NULL,&pu_className,&pu_Caption,NULL); ::SendMessage(hWnd,WM_CLOSE,NULL,NULL);
注意需要导出下RtlInitUnicodeString用它来初始化字符串传参
另外跟这个函数时,这个函数内部调用的函数名是看不到的,可以拿到已经加载好符号的WINDBG中去查看
同样bp user32!FindWindowW跟几步就看到了


iteye_10992
关注
VB6实现Ring3下直接调用Ring0层函数,反一切R3API Hook
a1875566250的专栏
05-20 6793
接论坛帖子:http://topic.youkuaiyun.com/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html 例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。 添加Module1 Private asm_CallCode() As Byte, KiFastSystemCall&, KiIntSyst
Api过r3Api函数hook
被遗弃的庸才博客
08-13 1023
这里验证的环境是win7 64位和win10 64位 首先是64位程序,这里由于win7和win10的调用号不同,需要根据所使用的系统修改相应的调用号,顺带说明一下win64的vs程序是不支持内联汇编,这里是我自己下载的intel的parallel studio使得vs支持了内联汇编。 #include<windows.h> /*------------------------...
对付API-splicing的一种简单方法
04-25 1003
 对于拦截API函数通常使用一种叫splicing的方法。此法的本质就是用JMP指令替换函数起始处的5个字节,将控制权传递给拦截程序。这种技术广泛应用于个人防火墙中,以防木马程序将自己的代码注入到其它可访问网络进程的地址空间中。然而,木马程序作者们可以采用不同的技术来穿透防火墙。比如说很流行的防火墙Agnitum Outpost的第三版就可以轻松绕过(详见MS-REM的文章《使用inject绕过
C# 优雅的实现ApiHook
记事本
09-21 2764
全部源码下载:https://download.youkuaiyun.com/download/vblegend_2013/10680642  通过继承NtAPIHook&lt;泛型委托&gt; 定义API ,并提供绕过Hook的源函数Origin委托 此模块支持 32位和64位   Hook处理类 using System; using System.Runtime.InteropService...
绕过所有用户层HOOK
crkres9527
10-08 1081
A、分析API函数原理    B、自API函数    C、SYSENTER指令    D、硬编码_emit    E、模拟FindWindow函数    PUNICODE_STRING MOV EAX,117A 7C92E510 &gt;  8BD4            MOV EDX,ESP 7C92E512    0F34            SYSENTER   ...
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时...
r3epthook-master.zip
11-29
这种技术在恶意软件中可能被用来隐藏恶意活动,例如,通过hook系统API来隐藏网络通信或数据存储,或者绕过安全软件的检测。 然而,EPT hooking并非没有局限性。它的实现需要对虚拟化技术和操作系统内核有深入理解,...
绕过常规Hook:KiFastSystemCall在x64系统下的应用
本资源是一份关于高级编程技术的教程,其核心在于利用x64架构和Baby大佬开发的Kernel技术,实现对R3(Ring 3,用户模式)下的常规Hook技术的防御和绕过。在操作系统中,Ring 0到Ring 3代表不同的权限等级,Ring 0...
易语言使用APIhook进行拦截文件读
09-02
易语言使用APIhook进行拦截文件读,拦截文件读,使用apihook
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.youkuaiyun.com/php_fly/article/details/9202379
自己实现读内存API和OpenProcess躲过Ring3层的HOOK(win10 1903)
吾无法无天的博客
03-01 3413
想躲过ring3层的某些APIHOOK,不想恢复钩子,自己,百度一搜半天都找不到,只能自己动手了... OpenProcess和ReadProcessMemory和WriteProcessMemory都在KernelBase.dll里 NtOpenProcess和NtReadVirtualMemory和NtWriteProcessMemory在ntdll.dll里 用IDA进行逆向即可得...
Windows内核新手上路2——挂钩shadow SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1881
Windows内核新手上路2——挂钩shadow SSDT          文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUser
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 2374
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
[ScyllaHide] 04 ScyllaHide配置报错原因定位
kinghzking的专栏
12-21 911
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关反调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 ScyllaHide配置报错原因定位 使用OD进行调试的时候,一直报错,如下图所示: 下面我们一步一步的开始分析错误原因,分享下解决问题的思路,希望对大家有一定的帮助。 定位问题 通过关键字“[ScyllaHide] NtUser* API Addresses are m
最简单绕过ring3 hook的方式(bypass bitdefender)
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
02-18 432
将 .text 部分从新映射的 dll 复制到原始(挂钩的)ntdll.dll 的虚拟地址(在第 3 步中找到)——这是取消挂钩的主要部分,因为所有挂钩的字节都被磁盘中的新字节覆盖。将原始内存保护应用到原始 ntdll.dll 的刚脱钩的 .text 部分。查找新映射的 ntdll.dll 的 .text 部分的虚拟地址。查找挂钩的 ntdll.dll 的 .text 部分的虚拟地址。将 ntdll.dll 的新副本从磁盘映射到进程内存。获取挂钩模块的 .text 部分的原始内存保护。
HOOK SSDT AND HOOK Shadow SSDT FOR DELPHI
12-09 1965
 by bujin999unit Driver;interfaceuses   nt_status,ntoskrnl,ntutils;const  DeviceName = /Device/360safeBoxA;  DosDeviceName = /DosDevices/360safeBoxA;  IOCTL_HOOK_START      = $0022E000;  IOCTL_H
如何防止API接口被恶意调用
靖节先生的博客
02-18 7293
如何防止API接口被恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
Android Activity绕过系统验证的Hook技术解析
标题与描述所提供的信息主要涉及Android开发领域中的一项高级技术——Hook技术,以及它在绕过系统对Activity验证中的应用。为了更好地展开知识内容,我们将按照以下结构来阐述相关知识点: ### Android Hook 技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值