VEH Hook 及 检测

最新推荐文章于 2025-03-09 11:28:49 发布
最新推荐文章于 2025-03-09 11:28:49 发布
阅读量1.1w 收藏 16
点赞数 1
分类专栏: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pomelozero/article/details/45061471
版权

SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理)
SEH是OS提供给线程来感知和处理异常的一种回调机制。
在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。
typedef struct _EXCEPTION_REGISTRATION_RECORD {
    struct _EXCEPTION_REGISTRATION_RECORD *Next;
    PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;
EXCEPTION_ROUTINE (
    _Inout_ struct _EXCEPTION_RECORD *ExceptionRecord,
    _In_ PVOID EstablisherFrame,
    _Inout_ struct _CONTEXT *ContextRecord,
    _In_ PVOID DispatcherContext
    );

typedef EXCEPTION_ROUTINE *PEXCEPTION_ROUTINE;
typedef struct _EXCEPTION_RECORD {
    DWORD    ExceptionCode;
    DWORD ExceptionFlags;
    struct _EXCEPTION_RECORD *ExceptionRecord;
    PVOID ExceptionAddress;
    DWORD NumberParameters;
    ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
    } EXCEPTION_RECORD;
   
XP之后,在基于线程的SEH基础增加了基于进程的VEH
比较:
1.SEH基于线程,VEH基于进程
2.优先级:调试器 > VEH > SEH 即KiUserExceptionDispatcher()函数先检查进程是否处理调试,然后VEH,最后SEH.
3.SEH单链表,VEH双链表,VEH节点可挂在头上或尾上。
注册VEH的回调API:
PVOID WINAPI AddVectoredExceptionHandler(
  __in  ULONG FirstHandler,
  __in  PVECTORED_EXCEPTION_HANDLER VectoredHandler
);

IA-32处理器定义了8个调试寄存器(DR0-DR7) DR0-DR3用于指点内存地址或I/O地址 DR4-DR5保留,DR6事件发生报告详细信息,DR7定义中断条件。
硬件断点HOOK是结合DR0-DR3调试寄存器和Winows SEH或VEH机制所引入的HOOK机制,因不涉及修改代码,不易检验检测到。

 

//测试EXE
#include <stdio.h>
#include <Windows.h>
#include <vector>

typedef LONG  (WINAPI *PVECTOREDEXCEPTIONHANDLER)(PEXCEPTION_POINTERS ExceptionInfo);

typedef PVOID (WINAPI *ADDVECTOREEXCEPTIONHANDLER)(
    ULONG FirstHandler,
    PVECTOREDEXCEPTIONHANDLER VectoredHandler
);

typedef struct _VECTORED_EXCEPTION_NODE {
LIST_ENTRY ListEntry;
PVECTORED_EXCEPTION_HANDLER pfnHandler; // 该指针出于安全目的已经被加密
} VECTORED_EXCEPTION_NODE, *PVECTORED_EXCEPTION_NODE;

LONG CALLBACK VectoredHandlerinit1(struct _EXCEPTION_POINTERS *ExceptionInfo)
{
    return EXCEPTION_CONTINUE_SEARCH;
}
LONG CALLBACK VectoredHandlerinit2(struct _EXCEPTION_POINTERS *ExceptionInfo)
{
    return EXCEPTION_CONTINUE_SEARCH;
}
LONG CALLBACK VectoredHandlerinit3(struct _EXCEPTION_POINTERS *ExceptionInfo)
{
    return EXCEPTION_CONTINUE_SEARCH;
}


LONG CALLBACK VectoredHandler(__in  PEXCEPTION_POINTERS ExceptionInfo)
{
	ExceptionInfo;
	return EXCEPTION_CONTINUE_EXECUTION;
}

int CheckVEHHook(std::vector&
最低0.47元/天 解锁文章
基于VEH的无痕HOOK
小龙在线
08-09 770
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。
处理veh调试器检测_越狱检测抖音逻辑???
weixin_33066433的博客
01-08 2069
对于应用安全甲方一般会在这三个方面做防御.按逻辑分类的话应该应该分为这几类, 但如果从实现原理的话, 应该分为两类, 用API实现的 和 不用API实现的(这说的不用 API 实现, 不是指换成 inine 函数就行) . 首先使用 API 实现基本统统沦陷. 直接通过指令实现的机制还有一丝存活的可能. 逻辑的话应该分为, 反调试, 反注入, 越狱检测, hook 检测.arm64 相关...
Windows系统编程(十)异常处理与异常HOOK
最新发布
2301_78838647的博客
03-09 1096
在Windows下,有两种异常:1.结构化异常 SEH2.向量化异常 VEH接下来我们学习这两种异常。
VEH HOOK
Doub1's Blog
04-10 2067
相关函数 我们只需要用到 AddVectoredExceptionHandler 设置VEH异常捕获 PVOID WINAPI AddVectoredExceptionHandler( _In_ ULONG FirstHandler, _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler ); U...
delphi 调试控件代码_Julia发布全功能调试器,多种姿势debug
weixin_39593523的博客
11-23 164
铜灵 编译整理量子位 出品 | 公众号 QbitAIJulia这门语言,因为集合了C语言的速度、Ruby的灵活、Python的通用于一身,获得了万千程序员的喜爱。福利来了~Julia团队又发布了新的全功能调试器,可以以多种姿势调试代码,节省你的工作量。有了这个新调试器的加持,你可以用Julia完成此前达不到的惊奇效果,包括:直接进入函数并手动运行代码,同时检查它的状态设置断点(breakpoint...
VEH hook
weixin_50217210的博客
10-16 558
终止当前程序的执行-->调试器(进程必须被调试,向调试器发送EXCEPTION_DEBUG_EVENT消息)-->执行VEH-->执行SEH-->TopLevelEH(进程调试时不会被执行)-->执行VEH-->交给调试器(上面的异常处理都说处理不了,就再次交给调试器)-->调用异常端口通知csrss.exe。思路就是不断改变某一块内存属性,当执行命令或者某些操作的时候,执行的内存属性是可执行的,当功能模块进入睡眠的时候将内存属性改为不可执行。然后就是注册异常函数,这个异常函数就是为了恢复可执行内存属性。
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7777
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
游戏逆向-2.2VEH+软件/硬件断点实现hook
qq_41709308的博客
03-08 4217
这里设置4个硬件断点后,还可以通过int 3实现软件断点,软件断点的优点在于只破坏一个字节,同时理论上可以下无限多个hook,而硬件断点只限制在四个,当然除了int 3等,还可以通过设置Page_NoAccess达到异常hook,文章中就不再讲述另外的异常hook,如读者有兴趣了解更多可以自行补充,另外上一章的inline hook和软件断点将会留在2.3章实战中演示具体操作。
启动未初始化小应用程序_自研RISC-V处理器芯片的串口启动流程示例
weixin_39614561的博客
11-20 283
目前基于risc-v架构,设计一款MCU应该不是天大的难事,至少开源平台上面就有很多成熟的方案,比如pulp和lowrisc,按照官方的教程,一步步操作,至少在FPGA板上进行原型验证,应该不是难事。难的就是,如果不是采用RISC-V的标准指令集,比如RV32IMC,也不用pulp提供的pulp-sdk,甚至也不用SiFive提供的E studio集成开发环境,而是想自己针对某一领域进行优化,增加...
ImageJ Nikon_ImageJ开源图片处理,世界上最快的纯Java图像处理科研软件
weixin_39801075的博客
10-27 460
ImageJ支持计算机全平台:ImageJ是用Java编写的,它允许它在32位和64位模式下在Linux,Mac OS X和Windows上运行。开源:ImageJ及其 Java源代码 可在公共领域免费获得 。无需许可证。用户社区:ImageJ拥有庞大且知识渊博的全球用户社区。超过1700名用户和开发人员订阅了 ImageJ邮件列表。宏:使用宏自动执行任务并创建自定义工具 。使用命令记录器生成宏代...
VEH+硬件断点实现无痕HOOK
09-24
VS2019源码 VEH+硬件断点实现无痕HOOK
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
易语言实现CE+VEH硬件断点查找访问该地址的代码-易语言
06-12
VEH异常处理+硬件断点 捕获内存的读写xx 参考自CE的查找访问该地址的代码的功能
e语言-利用硬断 VEH实现APIHOOK
08-23
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦只在XP WIN7 X32 下测试通过
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl。Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 。代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 。- -转来的哦。只在XP WIN7 X32 下测试通过。@659656hkl。
基于VEH&调试寄存器实现无痕HOOK(5)
m0_64973256的博客
12-30 2736
Windows操作系统中存在多种异常处理,我们现在需要的是其中的VEH
VEH软件断点和硬件断点Hook管理
qq_40363731的博客
03-27 572
【代码】VEH软件断点和硬件断点Hook管理。
veh hook检测
12-27
### 实现VEH Hook绕过安全检测的技术方案 #### 1. 理解VEH机制 Vector Exception Handler(VEH) 是Windows操作系统提供的一种异常处理机制,允许应用程序注册自己的异常处理器来捕获并响应特定类型的异常。当发生指定类型的异常时,系统会调用已注册的VEH回调函数,在这里可以执行自定义逻辑[^1]。 #### 2. 隐藏VEH钩子的存在 为了使VEH挂钩不易被发现,一种方法是在安装过程中尽可能减少对目标进程的影响。例如,可以在加载阶段动态创建而非静态编译入PE文件;或者利用其他合法模块作为载体间接注入代码片段。 #### 3. 使用混淆技术保护shellcode 针对基于特征码扫描的安全产品,可以通过加密、编码等方式隐藏实际payload的内容。每次触发前即时解密有效载荷部分,并确保其仅存在于内存中的短暂时间内[^2]。 #### 4. 动态分配与释放资源 为了避免长期占用固定地址空间引起怀疑,可采用按需申请的方式获取必要的工作区。完成任务后立即清理现场,不留痕迹地撤回所使用的句柄和其他对象。 #### 5. 利用内核模式下的辅助功能 某些情况下还可以借助Ring0级别的支持来进行更深层次的操作,如修改页表项属性以控制访问权限等高级特性。不过这种方法风险较高且容易引发蓝屏等问题,因此除非必要否则应谨慎考虑[^3]。 ```cpp // 示例:简单展示如何设置一个基本的VEH handler而不暴露明显特征 #include <windows.h> LONG WINAPI VectoredHandler(EXCEPTION_POINTERS* ep){ // 自定义处理逻辑... return EXCEPTION_CONTINUE_SEARCH; } void InstallVEHHook(){ AddVectoredExceptionHandler(TRUE, VectoredHandler); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值