病毒常用方法之移花接木---小小hook

最新推荐文章于 2023-11-18 11:00:00 发布
原创 最新推荐文章于 2023-11-18 11:00:00 发布 · 389 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#病毒 #汇编

本文介绍了一种通过DLL模块hook通信API实现账号盗取的技术。详细解释了如何通过修改内存读写属性来替换原函数,并利用导出的关键函数供其他进程调用。此技术通过检查发送请求的数据并保存感兴趣的网站登录信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前在一些地方看过不少帖子,介绍或总结hook得各种使用,从中收获不少。其中有一个总结,我觉得是很准确的:hook就是改变原程序的执行流程。只不过在使用的场合不同,每个人实现的效果可能存在差异,但实现的思路大同小异。
下面介绍一个dll模块,它通过hook通信的api来实现盗号,看下主要操作的反汇编代码:

 int _stdcall GetFuncAddr(HMODULE hModule,LPCSTR lpModuleName,LPCSTR lpProcName)
    hModule        =dword ptr 8
    lpModuleName   =dword ptr 0ch ;(传入的实参)wininet(.dll) 
    lpProcName     =dword ptr 10h ; HttpSendRequestA/W

        push ebp 
        mov  ebp,esp
        cmp  [ebp+lpModuleName],0 ;模块名是否为空
        jz   short loc_10001018
        push [ebp+lpModuleName] ;lpModuleName
        call ds:GetModuleHandleA
        push [ebp+lpProcName]  ;函数名
        push eax
        jmp  short loc_1000101e
loc_10001018:
        push [ebp+lpProcName]
        push [ebp+hModule]
loc_1000101e:
        call ds:GetProcAddress ;得到要hook函数的地址
        pop  ebp
        retn 0ch
GetFuncAddr endp 

  ;得到目标函数的地址之后,接下来就是用精心准备的工作函数取替换。这里是通过改变内存的读写属性来实现的。
         lea  eax,[ebp+flOldProtect]
         push eax
         push 4    ;flNewProtect  4---PAGE_READWRITE
         push 10h  ;dwSize
         push dword ptr [esi+0ch]; lpAddress 上面获得的函数地址
         call ds:VirtualProtect
 ;由于是dll不能自己主动执行里面的代码,所以它就导出了关键函数供其他进程调用 
 ;盗号吗?替换的NewHttpSendRequest()会先对发送请求的数据进行检查,如果是感兴趣的网站就将登录信息保存下来,传到指定的邮箱,接下来的任务就还给HttpSendRequest()
没有HOOK就没有病毒?详谈HOOK API技术(转)
cuankuangzhong6373的博客
03-25 758
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻...
HOOK黑客木马开机启动!小伙子用c++手把手带你进入木马的世界!
05-19 981
# 一 学习目标 这是一段远程控制木马开机启动的代码,主要使用了ActiveX方式启动。结合自己的理解重新整理了笔记。而作为编程新手入门的自己决定要开始梳理学习目的和订下学习的目标。从今天开始要坚持做到 - 1.逼自己去看英文版本的MSDN掌握windowsAPI的使用。 - 2.锻炼编程开发能力,快速开发出安全工具。 - 3.逆向自己编写的程序熟悉反汇编代码来提升自己的逆向能力,因为逆向...
木马控制技术(三) -- Hook技术
weixin_30528371的博客
08-12 505
此为《木马技术揭秘与防御》系列读书笔记 基本概念 钩子(Hook)是windows消息处理机制的一个平台: Ahookis a mechanism by which an application can intercept events, such as messages, mouse actions, and keystrokes. A function that int...
黑客爱用的 HOOK 技术大揭秘!
最新发布
wangluoanquan111的博客
11-18 503
上面几种 HOOK,修改的都是应用层的函数指针,而操作系统内核中还有一些非常重要的表格,它们的表项中记录了一些更加关键的函数,HOOK 这些表格中的函数是非常高危的操作,操作不当将导致操作系统崩溃。当发生异常时,操作系统就从最近的异常处理器进行寻求处理,如果能处理则罢了,不能处理就继续寻求更上一级的异常处理器,直到找到能处理的异常处理器。执行系统调用的时候,CPU 将从用户模式切换到内核模式,进入内核后,将会根据系统调用的 API 编号,去找到对应的系统服务函数,实现对应 API 的功能。
黑客爱用的 HOOK 技术大揭秘
A_991128a的博客
03-06 2154
病毒木马为何惨遭杀软拦截?商业软件为何频遭免费破解?系统漏洞为何能被补丁修复?这一切的背后到底是人性的扭曲,还是道德的沦丧,敬请收看今天的专题文章:《什么是 HOOK 技术?
Hook浏览器控件WebBrowser对WININET.dll的调用
csstome
07-12 324
此文章的代码可以从此处下载:http://www.codeproject.com/KB/shell/RetrieveHttponlyCookies.aspx 开发中经常使用到WebBrowser。WebBrowser控件编程控制起来很方面,好处不用说了。 但日前遇到一个问题,如何获取HTTP服务器页面返回的HTTP HEADER(不是DOM的head)? 比如说ASP.Net页面返...
nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm
06-19
centos7.4+ nvidia-docker2 安装所需要的必备包之一 libnvidia-container-tools-1.0.2-1.x86_64.rpm ...nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm nvidia-docker2-2.0.3-3.docker18.09.6.ce.noarch.rpm
react-modal-hook:使用React Hooks来处理模态的语法糖
05-02
该库不提供任何UI,但是提供了一种方便的方法来呈现在其他地方定义的模式组件。 对于简单的模态组件,请查看 ,它与该库配合使用。 目录 安装 npm install --save react-modal-hook 用法 使用ModalProvider为您的...
NVIDIA-DOCKER-18.06版本 nvidia-container-runtime-hook_1.4.0-1_amd64.deb
01-20
NVIDIA-DOCKER-18.06版本 nvidia-container-runtime-hook_1.4.0-1_amd64.deb
githook-maven-plugin:Maven插件安装本地git钩子
05-22
githook-maven-plugin Maven插件来配置和安装本地git钩子 保护您的VCS 在提交更改之前先检查一下更改始终是一个好主意:运行单元测试,执行构建等。但是,这样的检查列表很容易被忽略,尤其是在大型项目中。 为了...
react-smooth-scroll-hook:一个在React组件中使用平滑滚动的React Hook
04-14
这是替换本机scrollTo api的一种更方便的方法。 故事书文档在。 特征 :rocket: 您不需要警告兼容性,它使用requsetAnimationFrame api完成平滑的滚动行为。 :backhand_index_pointing_right: 提供direction选项...
matlab的聚类分析
09-16
对于数据的分类,里面有详细的程序,带有注释,方遍初学者学习
黑客爱用的HOOK技术大揭秘!
MachineGunJoe666
09-27 3361
什么是HOOK技术? 病毒木马为何惨遭杀软拦截? 商业软件为何频遭免费破解? 系统漏洞为何能被补丁修复? 这一切的背后到底是人性的扭曲,还是道德的沦丧,尽请收看今天的专题文章:《什么是HOOK技术?》 上面是开个玩笑,言归正传,今天来聊的话题就是安全领域一个非常重要的技术:HOOK技术。 HOOK,英文意思是“钩子” 在计算机编程中,HOOK是一种「劫持」程序原有执行流程,添加额外处理逻辑的一种技术。 按照这个定义,其实我们Python中的装饰器和Java中的注解,这种面向切面编程的手法在某种程度上来说,
关于HOOK浏览器NtDeviceIoControlFile函数,修改POST数据的问题
陈刚编程心得与知识集
02-07 3692
HOOK了IE的NtDeviceIoControlFile函数,想修改POST发包的数据,IE做POST数据时,会发送两个包,一个是HTTP头,一个是数据,如果修改的数据长度跟原数据长度相等,则可以直接修改数据,不会有问题,但如果数据长度不相等,则需要先修改HTTP头里的Content-length参数,然后再在第二个数据包发送的时候修改数据Buffer。   我的问题是,在第二种情况下,修改
在生产环境中碰见的JSP木马-sunziren
weixin_30542079的博客
01-29 411
  写在前面,本文仅做为技术交流的用途,请不要使用本文中的技术破坏他人的网站及系统,因为这是违法的!!!本人不负任何法律责任!!!     19年1月份,发现了一个JSP木马文件,当时觉得有点奇怪的是,这个文件没有在上传目录,而是在相当于windows系统桌面的位置,我怀疑应该是这个木马把自己转移了。   这个木马是一个JSP文件,通过在访问该文件的时候传递参数,就能调用该文件...
必备绝技--Hook大法( 上 )
04-26 4304
 【文章标题】: 必备绝技--Hook大法(上)【文章作者】: LvG【作者邮箱】: LvG2008@gmail.com【作者声明】: 这没有什么新鲜东西,其内容全部来自于前辈,姑且当作学习笔记。文字用自己的话写出,四段代码均出自别人(知道作者的,以注明),但短小精悍,就写在一起了,便于察看。欢迎指正。------------------------------------------------
Windows Hook原理与实现
热门推荐
安全杂货铺
08-06 4万+
Windows Hook原理与实现 教程参考自《逆向工程核心原理》 1.概述 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值