windows 导入表/导出表 hook

已于 2023-06-23 21:21:28 修改
阅读量533 收藏 1
点赞数
分类专栏: windows inners 文章标签: windows iat
于 2023-06-22 19:44:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pureman_mega/article/details/131343734
版权

参考:黑客编程   

以CreateFileW为例演示iat hook,代码如下:

#include<Windows.h>
#include<winnt.h>
#include<stdio.h>

#pragma warning(disable:4996)

typedef HANDLE(WINAPI *CREATEFILEW)(
	_In_ LPCWSTR lpFileName,
	_In_ DWORD dwDesiredAccess,
	_In_ DWORD dwShareMode,
	_In_opt_ LPSECURITY_ATTRIBUTES lpSecurityAttributes,
	_In_ DWORD dwCreationDisposition,
	_In_ DWORD dwFlagsAndAttributes,
	_In_opt_ HANDLE hTemplateFile
);

CREATEFILEW dwCreateFileWAddr = NULL;

HANDLE WINAPI MyCreateFileW(
	_In_ LPCWSTR lpFileName,
	_In_ DWORD dwDesiredAccess,
	_In_ DWORD dwShareMode,
	_In_opt_ LPSECURITY_ATTRIBUTES lpSecurityAttributes,
	_In_ DWORD dwCreationDisposition,
	_In_ DWORD dwFlagsAndAttributes,
	_In_opt_ HANDLE hTemplateFile
)
{
	wprintf(L"lpFileName:%s\n", lpFileName);

	return dwCreateFileWAddr(lpFileName,
		dwDesiredAccess,
		dwShareMode,
		lpSecurityAttributes,
		dwCreationDisposition,
		dwFlagsAndAttributes,
		hTemplateFile);
}


/*
* moduleToHook 需要hook的模块      字符串
* funcToHook   需要hook的函数名称  字符串
* oriFuncAddr  用来保存被hook函数的原始地址  二级指针
* newFuncAddr  用来接管被hook函数的新函数地址  
*/

DWORD hookIat(char* moduleToHook,char* funcToHook,PVOID* oriFuncAddr,PVOID newFuncAddr)
{
	DWORD result = 0;

	do
	{
		if (moduleToHook == NULL || funcToHook == NULL)
		{
			result = 1;
			break;
		}
		HMODULE hMod = GetModuleHandleA(moduleToHook);
		if (hMod == NULL)
		{
			printf("fails to get %s module!\n", moduleToHook);
			result = 2;
			break;
		}
		ULONG64 dwFuncAddr = (ULONG64)GetProcAddress(hMod, funcToHook);
		CloseHandle(hMod);

		//获取当前进程模块基地址
		HMODULE hModule = GetModuleHandleA(NULL);//调试的时候这个地方会抛出异常,0xc000008:an invalid handle was specified

		if (dwFuncAddr)
		{
			printf("dwFuncAddr:%llx\n", dwFuncAddr);
		}
		if (hModule)
		{
			printf("hModule:%p\n", (PVOID)hModule);
		}

		//定位PE结构
		PIMAGE_DOS_HEADER pDosHdr = (PIMAGE_DOS_HEADER)hModule;
		PIMAGE_NT_HEADERS64 pNtHdr = (PIMAGE_NT_HEADERS64)((ULONGLONG)hModule + pDosHdr->e_lfanew);

		//保存映像基地址及导入表的rva
		ULONGLONG dwImageBase = pNtHdr->OptionalHeader.ImageBase;
		ULONG64 dwImpRva = pNtHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

		//导入表的va
		PIMAGE_IMPORT_DESCRIPTOR pImgDes = (PIMAGE_IMPORT_DESCRIPTOR)(dwImageBase + dwImpRva);

		PIMAGE_IMPORT_DESCRIPTOR pTmpImpDes = pImgDes;
		BOOL bFound = FALSE;

		//查找欲hook函数所在的模块名
		while (pTmpImpDes->Name)
		{
			ULONG64 dwNameAddr = dwImageBase + pTmpImpDes->Name;
			char szName[MAXBYTE] = { 0 };
			strcpy(szName, (char*)dwNameAddr);
			//查找模块
			if (strcmp(strlwr(szName), moduleToHook) == 0)
			{
				bFound = TRUE;
				break;
			}

			pTmpImpDes++;
		}
		//判断查找结果
		if (bFound == TRUE)
		{
			//
			printf("%s base:%llx\n", moduleToHook, dwImageBase);
			bFound = FALSE;

			//
			//逐个遍历模块的iat地址
			//注意iat中OriginalFirstThunk和FirstThunk的区别
			//
			PIMAGE_THUNK_DATA64  pThunk = (PIMAGE_THUNK_DATA64)(pTmpImpDes->FirstThunk + dwImageBase);
			PIMAGE_THUNK_DATA64   pOriFirstThunk = (PIMAGE_THUNK_DATA64)(pTmpImpDes->OriginalFirstThunk + dwImageBase);

			while (pThunk->u1.Function)
			{
				ULONG64* pAddr = (ULONG64*)&(pThunk->u1.Function);
				PIMAGE_IMPORT_BY_NAME pImgImpName = (PIMAGE_IMPORT_BY_NAME)(pOriFirstThunk->u1.AddressOfData + dwImageBase);

				//打印导入的函数名
				if (strlen(pImgImpName->Name))
					printf("name:%s\n", pImgImpName->Name);
				//
				if (*pAddr == dwFuncAddr)
				{
					//
					printf("addr of function %s:%llx\n", funcToHook, dwFuncAddr);
					bFound = TRUE;
					*oriFuncAddr = (PVOID)*pAddr;
					ULONG64 dwMyHookAddr = (ULONG64)newFuncAddr;
					DWORD oldProtect = 0;

					//正常情况下导入表所在的内存页是无法写入数据的
					//但是可以通过修改其页属性,然后再写入数据
					VirtualProtect(pAddr, sizeof(ULONG64), PAGE_READWRITE, &oldProtect);
					//修改为hook函数的地址
					if (FALSE == WriteProcessMemory(GetCurrentProcess(),
						(LPVOID)pAddr,
						&dwMyHookAddr,
						sizeof(ULONG64),
						NULL))
					{
						printf("WriteProcessMemory fails,err:%d\n", GetLastError());
					}
					VirtualProtect(pAddr, sizeof(ULONG64), oldProtect, NULL);
					break;
				}
				pThunk++;
				pOriFirstThunk++;
			}
			//
			break;
		}
		else
		{
			result = 3;
			printf("do not find module  %s in iat!\n", moduleToHook);
			break;
		}
	}while (0);

	printf("done!\n");

	return result;
}


//导入表hook
//
// 使用情景
// 
// exe或dll通过隐式调用某个api,例如CreateFileA/CloseHandle,
// 这些api通常直接调用;然后,编译生成pe文件
//之后,可以发现pe文件导入表中有相应的模块及函数。在这种情况下是可以使用iat hook的。
// 
// 
// 但是,如果是通过GetProcAddress函数来动态获取api地址,也就是显示调用,
// 编译生成的pe文件导入表中是没有相关api的信息,iat hook也就无法排上用场。
// 
// 这个时候就可以考虑eat(导出表)hook
//
void testhook()
{
	CreateFileW(L"110.txt", 0, 0, 0, 0, 0, 0);

	printf("hookIat result:%d\n",hookIat("kernel32.dll", "CreateFileW", (PVOID*)&dwCreateFileWAddr, MyCreateFileW));

	printf("hookIat result:%d\n", hookIat("Advapi32.dll", "CreateFileW", (PVOID*)&dwCreateFileWAddr, MyCreateFileW));

	//触发被hook的函数
	CreateFileW(L"___???.txt", 0, 0, 0, 0, 0, 0);
}

相对于导入表hook,针对的某个pe文件的导入表里面的某个函数,不会影响其他也导入了 该函数的pe文件。导出表hook,就有一个全局的作用,在其他文件中,只要导入了该导出函数就会受影响。由于导出表数据结构的限制,使得其在64位环境下操作起来不像iat hook那么简便,不过eat hook在某些特殊的场景下还是非常适合的。下面是eat hood的基本流程:

			ULONG64 eatAddr = 0;
			if ((ULONG64)newFuncAddr >dwImageBase)
			{
				eatAddr = (ULONG64)newFuncAddr - dwImageBase;
			}
			else
			{
				eatAddr = dwImageBase - (ULONG64)newFuncAddr;
			}

			printf("eatAddr:%lld\n", eatAddr);

			if (FALSE == WriteProcessMemory(GetCurrentProcess(),
				(LPVOID)(tmpAddr+oridinals),
				&eatAddr,
				sizeof(DWORD),
				NULL))
			{
				printf("WriteProcessMemory fails,err:%d\n", GetLastError());
			}
			else
			{
				printf("after eathook addr of %s is %llx\n", funcToHook, dwImageBase + tmpAddr[oridinals]);
			}

硬件hook,

PVOID kerCreateFileW = NULL;//kernel32.dll  导出的CreateFileW
PVOID baseCreateFileW = NULL;//kernelbase.dll   导出的CreateFileW

DWORD NTAPI ExceptionHandler(PEXCEPTION_POINTERS pExceptionInfo)
{
	if (pExceptionInfo->ExceptionRecord->ExceptionAddress == kerCreateFileW)
	{
		 已经处理了异常,不需要调用下一个异常处理来处理该异常
		//
		// 在当前系统版本10.0.19045.3086下,kernel32!CreateFileW 函数内部是一个跳转指令。
		//
		// 直接跳到kernelbase!CreateFileW。所以出来被hook的执行流程是直接将Rip设置为kernelbase!CreateFileW
		// 
		// 其他的应用场景,需要做一定的调整
		//
		pExceptionInfo->ContextRecord->Rip =(ULONG64)baseCreateFileW;

		wprintf(L"(rcx):%s\n", (WCHAR*)(pExceptionInfo->ContextRecord->Rcx));

		return EXCEPTION_CONTINUE_EXECUTION;
	}
	return EXCEPTION_CONTINUE_SEARCH;
}

//
// hardHook根据参数pointToHook,对指定的地址进行硬件hook(硬件断点的类型,长度省略)
//
// 首先,通过CreateThread创建一个线程,在线程内部会循环调用待hook的函数
// 
// 然后,暂停线程,设置硬件断点来hook pointToHook对于的地址
// 
// 最后,恢复线程执行,触发硬件hook
//
DWORD hardHook(PVOID pointToHook)
{
	CONTEXT context;
	HANDLE hThread = INVALID_HANDLE_VALUE;
	DWORD threadId = 0;

	//设置异常出来函数
	SetUnhandledExceptionFilter(ExceptionHandler);

	//创建线程,然后通过硬件断点来hook CreateFileW函数
	//
	//由于硬件断点的使用是与具体的线程相关的,所以在没有设置硬件hook的线程中,
	// CreateFileW的执行流程是不会被劫持的
	//
	hThread = CreateThread(NULL, 0, ThreadRoutine, NULL, 0, &threadId);

	//暂停线程
	SuspendThread(hThread);

	//获取线程环境
	context.ContextFlags = CONTEXT_ALL;

	if (GetThreadContext(hThread, &context) == TRUE)
	{
		//设置硬件断点,使用dr0寄存器
		context.Dr7 = (DWORD)1;
		
		//设置线性地址
		context.Dr0 = (ULONG64)pointToHook; 
		// 设置硬件断点	
		if (SetThreadContext(hThread, &context) == TRUE)
		{
			printf("new thread context is set!\n");
		}
	}
	else
	{
		printf("GetThreadContext fails,error:%d\n", GetLastError());
	}

	//唤醒线程
	ResumeThread(hThread);


	CreateFileW(L"___?00o??.txt", 0, 0, 0, 0, 0, 0);


	WaitForSingleObject(hThread, INFINITE);

	return 0;
}

导出钩子------EAT HOOK
06-03 1791
作 者: Sysnap时 间: 2008-04-05,17:13链 接: http://bbs.pediy.com/showthread.php?t=62574看了combojiang大侠的rootkit专题,发现少了一个导出钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出钩子比
一个修改导入的 API HOOK 程序
10-31
该程序实现了通过修改IDT钩住进程调用的API程序,比较简单实用。
IAT Hook 导入
11-01 229
每一个模块都会有导出导入IAT HOOK就是修改导入内的函数,使得模块中的 CALL [XXXXX] call到自己的函数里面去。执行自己的功能 模块开始是 IMAGE_DOS_HEADER,这个结构内有一个e_flew成员,这是个偏移,h_module+e_flew可以得到 IMAGE_NT_HEADER,Nt头内包含了很多信息,导入也在这里面。 PIMAGE_...
hook_导出eat
05-28 830
#include &lt;ntifs.h&gt; #include &lt;ntimage.h&gt; typedef VOID(__stdcall *KEATTACHPROCESS)(IN PRKPROCESS Process); KEATTACHPROCESS OldKeAttachProcess; UCHAR *PsGetProcessImageFileName(IN PEPROCESS ...
android so文件hook,Android SO 加载分析与导入Hook导出Hook
weixin_42397739的博客
05-27 506
0x00 参考文章关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.youkuaiyun.com/d...
注入(5)---导入注入(HookINT)
weixin_33841722的博客
10-13 349
导入WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入,PE加载器会根据导入来加载进程需要的其他DLL模块。 导入的数据结构如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; ...
iat导入hook的c++源码
最新发布
09-14
总之,IAT导入hookWindows编程中的高级技巧,对于想要深入理解系统级编程和逆向工程的人来说,这是一个重要的学习领域。通过学习和实践,你将能够更有效地控制程序的执行流程,实现各种自定义功能。
易语言导入导出PE源码
06-03
通过导入导出PE的源码,开发者可以实现如DLL注入、函数 hook、程序分析等高级功能。 4. **SanYe**:SanYe可能是这个资源的作者或开发者的名字,也可能是一个特定的编程社区或者工具的标识。在易语言社区中,可能...
API-HOOK.rar_Hook windows api
09-24
4. **IAT(Import Address Table) Hook**:通过修改目标模块的导入地址,使得调用API时直接跳转到我们的钩子函数。这是本案例可能采用的方法,适用于静态链接的API。 5. **EAT(Export Address Table) Hook**:...
枚举全局钩子_如何列出当前windows中所有的钩子hook
01-28
这可以通过读取模块的导入地址(Import Address Table, IAT)来完成。 3. **查找钩子链**:对于可能包含钩子的模块,需要查找其内部的数据结构,即钩子链Windows系统维护了一个钩子链,记录了所有已安装的...
IAT(import address table) hook C++实例
09-13
本实例将详细讲解如何使用C++通过导入IAT)来实现inline hook导入地址IAT)是Windows操作系统PE文件格式的一部分,它存储了程序在运行时需要调用的外部函数的地址。当一个动态链接库(DLL)被加载到进程...
Android so注入(inject)和Hook技术学习(三)——Gothook导出hook
weixin_33695082的博客
07-15 267
前文介绍了导入hook,现在来说下导出hook导出hook的流程如下。1、获取动态库基值    1 void* get_module_base(pid_t pid, const char* module_name){ 2 FILE* fp; 3 long addr = 0; 4 char* pch; 5 char filename...
android so hook原理,Android so注入(inject)和Hook技术学习(二)——Gothook导入hook...
weixin_42128141的博客
05-27 633
全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。GOT其实包含了导入导出导出指将当前动态库的一些函数符号保留,供外部调用,导入中的函数实际是在该动态库中调用外部的导出函数。这里有几个关键点要说明一下:(1) so文件的绝对路径和加载到内存中的基址是可以通...
导出钩子之EAT HOOK解析
輚至消亡
07-06 3182
EAT HOOKIAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出的地址(注意这里是RVA要加上ImageBa...
IAT hook实现 (修改pe中的导入实现hook)
&Ψ的博客
07-21 1577
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入导入中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
hook类输出hook、过滤等等功能
陈小与的专栏
08-17 719
放出一个自己写的hook类,我的个人库中的一个小类,C++的, 支持inline hook 支持ita hook  支持输出hook, 还支持虚函数hook, 甚至你还可以给代码安装一个过滤函数等等功能。在过滤函数中,你可以读取堆栈内容和寄存器内容。 绝对让你用得爽歪歪 一般的inline hook  你得计算偏移地址 你得保存原来的函数头代码 你得申请一段可执行的内
Android so注入(inject)和Hook技术学习(二)——Gothook导入hook
inquisiter
12-01 790
全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。   GOT其实包含了导入导出导出指将当前动态库的一些函数符号保留,供外部调用,导入中的函数实际是在该动态库中调用外部的导出函数。   这里有几个关键点要说明一下:   (1) so文件的绝对路径和加载到内...
【原创】导出钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4408
看了combojiang大侠的rootkit专题,发现少了一个导出钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出钩子比导入钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
android so hook原理,Android SO 加载分析与导入Hook导出Hook
weixin_35715490的博客
05-27 704
0x00 参考文章关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.youkuaiyun.com/d...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值