ring3层IatHOOK的实现

最新推荐文章于 2024-03-14 23:33:59 发布
最新推荐文章于 2024-03-14 23:33:59 发布
阅读量464 收藏 3
点赞数 1
文章标签: Hook dll注入 ring3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41208289/article/details/86763397
版权
本文深入探讨了IAT HOOK技术,详细介绍了如何通过修改PE文件的输入表来替换Kernel32.dll中的OpenProcess函数,实现对特定进程ID的控制。通过具体的代码示例,展示了如何在DLL加载时进行HOOK操作,以及如何在测试EXE中验证HOOK的效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IatHOOK即修改PE文件的输入表,将目标函数修改成我们自己的函数并执行
可用来HOOK自身的LoadLibrary函数防止自身进程被dll注入,也可以通过dll注入的方式达到修改其他进程的目的
下面是通过加载DLL实现IatHOOK自身Kernel32.dll中OpenProcess函数的全部代码,也可以将该DLL注入到其他进程实现同样的效果

注:HOOK自身OpenProcess并不能保护自身进程,这里只是用该函数作为演示

//DLL部分的代码:

//stdafx.h
#pragma once

#include "targetver.h"
#define WIN32_LEAN_AND_MEAN             // 从 Windows 头文件中排除极少使用的内容
// Windows 头文件
#include <Windows.h>

// 在此处引用程序需要的其他标头
#include "test.h"

//test.h
#pragma once
int IatHook();
HANDLE WINAPI MyOpen(_In_ DWORD dwDesiredAccess,
	_In_ BOOL bInheritHandle,
	_In_ DWORD dwProcessId);

//test.cpp
#include "stdafx.h"

typedef HANDLE(WINAPI *realOpen)(DWORD, BOOL, DWORD);
realOpen real = OpenProcess;  //取真正OpenProcess地址

HANDLE WINAPI MyOpen(_In_ DWORD dwDesiredAccess,
	_In_ BOOL bInheritHandle,
	_In_ DWORD dwProcessId)
{
	//HWND hwnd = FindWindow(NULL, title);
	//DWORD pid;
	//GetWindowThreadProcessId(hwnd, &pid);

    //如果pid为7064则弹窗并返回失败,否则正常调用OpenProcess
	if (dwProcessId == 7064)  //假设pid为7064 
	{
		MessageBox(NULL, "已跳往自定义OpenProcess", "OpenProcess HOOK成功", NULL);
		return NULL;
	}
	else
		return real(dwDesiredAccess, bInheritHandle, dwProcessId);
}


int IatHook()
{
	//下面涉及到一些PE文件结构的知识,可以查看最下面的PE文件结构图
	HANDLE pBegin = GetModuleHandle(NULL); //取模块首地址
	PBYTE  imageBase = (PBYTE)pBegin;   
	PIMAGE_NT_HEADERS NTheader = (PIMAGE_NT_HEADERS)(imageBase + ((PIMAGE_DOS_HEADER)imageBase)->e_lfanew); //取PE头中的NT头结构基址
	PIMAGE_IMPORT_DESCRIPTOR IMPORT = (PIMAGE_IMPORT_DESCRIPTOR)(imageBase + NTheader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
	//取输入表结构基址

	//遍历输入表,找出存放OpenProcess函数地址的地址,并修改为自己函数的地址
	PIMAGE_THUNK_DATA r;
	for (; IMPORT->Name; IMPORT++)
	{
		for (r = (PIMAGE_THUNK_DATA)(imageBase + IMPORT->FirstThunk); r->u1.Function; r++)   //枚举函数地址
		{

			if (real == ((PVOID)r->u1.Function))  //找到OpenProcess在输入表中的位置
			{
				DWORD pOpenProcess = (DWORD)&(r->u1.Function);  //取地址
				DWORD my = (DWORD)MyOpen;  //取自己函数的地址
				DWORD old;  //保存旧页面属性
				VirtualProtect((PVOID)pOpenProcess, 4, PAGE_EXECUTE_READWRITE, &old);
				//修改页面属性为可读可写
				__asm
				{
					mov eax, pOpenProcess
					mov ebx, my
					mov [eax], ebx
				}  //修改
				VirtualProtect((PVOID)pOpenProcess, 4, old, 0); //恢复页面属性
				break;
			}

		}
	}
	return 0;
}

//dllmain.cpp
#include "stdafx.h"

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
		IatHook(); //载入DLL即运行HOOK
		break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}


//测试exe部分:
//main.cpp

#include <iostream>
#include <Windows.h>
int main()
{
	HMODULE hm = LoadLibrary("test.dll");  //载入实现HOOK的DLL
	if (hm)
		printf("已加载IatHookDLL\n");
	else
	{
		printf("加载失败\n");
		return 0;
	}
	if (OpenProcess(PROCESS_ALL_ACCESS, FALSE, 7064))
		printf("打开成功");
	else
		printf("pid==7064打开失败!"); //如果Pid ==7064则跳往自己写的函数并返回失败
	getchar();
	return 0;
}

PE文件结构图

CalvinXu17
关注
Hook技术:IAT Hook详细讨论修改IAT地址和恢复
weixin_43742894的博客
05-16 2944
IAT HookRing3常用的Hook之一,主要思路大家都知道,就是修改IAT中的函数地址。
IAT Hook
stmlg的博客
05-15 421
Chook Hook 三步走 WFH 1. WHRER 你要hook的函数(地址) 2. FIND 找到你的函数地址 3. HOOK 这个函数 作用 修改数据(修改参数,修改返回值) 改变被hook函数行为 考虑这种情况 只能返回 加密后的变量x, 如果我们想要 函数里边的x 修改或者监控 ,怎么办呢? 找到dll , 修改这个dll的功能。 导入表结构IAT表 程序加载前 程序加载后(IAT表会断裂 成真正的函数地址) 不要管 ring0 和 ring 3 ,IAT hook 都这
IAT Hook 原理分析与代码编写
优快云
10-30 5715
首先第一处浅红色部分就是导出表的地址与大小,默认情况下只有DLL文件才会导出函数所以此处为零,第二处深红色位置为导入表地址而后面的黄色部分则为导入表的大小,继续向下第三处浅蓝色部分则为资源表地址与大小,第四处棕色部分就是基址重定位表的地址,默认情况下只有DLL文件才会重定位,最下方的蓝色部分是IAT表的地址,后面的黄色为IAT表的大小。如上所示,可以看到该程序一共有3个导入结构分别是红紫黄色部分,最后是一串零结尾的字符串,标志着导入表的结束,我们以第1段红色部分为例,最后一个地址偏移。
Ring3 IAT Hook例子
yxuenong的专栏
12-14 469
Ring3 IAT Hook例子   #include #include #include #define UNICODE #define _UNICODE PIMAGE_DOS_HEADER pDosHeader; PIMAGE_NT_HEADERS pNTHeaders; PIMAGE_OPTIONAL_HEADER pOptHeader; P
IAT HOOK
qiaoli的知识备忘录
07-16 465
原文连接: http://blog.youkuaiyun.com/misterliwei/article/details/840983     一.            IAT   法      IAT  法就是通过修改 IAT  表中的函数地址而达到的 API   截获的方法。     1   .技术与实现       每个调用的 API  函数地址都保存在 IAT
IAT HOOK
azraelxuemo的博客
01-25 527
IAT Hook通过修改输入表的地址使应用调用函数的时候跳转到恶意代码区域 这里我们获取到了指定进程的指定dll中导入的指定函数的地址和该IAT的地址,只要把该IAT修改了就可以达到hook的目的 但如果用远程线程的方式是无法完成传统意义上的IAT HOOK 因为如果我们修改了IAT里的地址,相当于目标进程调用了我们在目标进程空间里面自定义的函数,参数也只有默认的参数,但最后我们如果想要回跳到原始正常的函数,就需要获取到这个函数的地址,但对于我们远程线程的方式,是无法告诉他这个地址的,只能使用dll的方式
Ring3Hook API实现分析
panda1987的专栏
01-18 7785
    本文主要针对用户级别下HOOK API的方法进行一下总结。对应的,自然也有ring0下的HOOK API方法,但是这个需要一些驱动方面的基础,暂时不在本文讨论范围内。另外ring3下的HOOK API方法也有很多种,我只列举我所能想到的。    所谓HOOK API,与Windows 下的HOOK其实是完全两个概念,风马牛不相及。当然在之后的讨论中你也会看到有关于windows hook的讨论,但是这是另外一个话题了。    那么到底什么是HOOK API呢?我们可以暂且简单的认为HOOK API就
深入解析应用R3 IAT Hook技术实现
R3级别的IAT hook实现通常不需要涉及内核级编程。在用户空间中,可以通过PEB(Process Environment Block)结构体,来获取进程的模块信息,然后通过遍历模块列表,找到特定的DLL模块。当定位到目标DLL的基址后,就...
应用IAT hook
11-01
Ring 0(内核模式)的hook相比,R3 IAT Hook无需特殊权限,更易于实现且对系统稳定性影响较小。 ### 三、IAT Hook原理 1. **定位目标函数**: 首先,我们需要找到目标模块的IAT,并确定待hook的函数在IAT中的位置...
ring3实现HOOK API续之进程防杀
03-31
本文将详细探讨这两个主题,并基于提供的标题和描述,解释如何在Ring3实现API Hook以及如何防止被其他进程检测并杀死。 首先,让我们了解Ring3的概念。在x86架构的操作系统中,处理器有四个特权级别:Ring0、Ring...
Windows x86/ x64 Ring3注入Dll总结
diansiping0655的博客
10-30 400
欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言   提到Dll注入,立马能够想到的方法就有很多,比如利用远程线程、Apc等等,这里我对Ring3Dll注入学习做一个总结吧。   我把注入的方法分成六类,分别是:1.创建新线程、2.设置线程上下背景文,修改寄存器、3.插入Apc队列、4...
PE文件架构学习(一)
最新发布
m0_75243362的博客
03-14 1741
​ PE文件是windows系统中遵循PE结构的文件,比如以.exe .dll .ocx .sys .com为后缀名的文件以及系统驱动文件。(可能是间接被执行的,如DLL)​ 官方解释链接​ 顾名思义,世界上各种东西都有自己特定的结构,最简单和直观理解的例子就是我们自己身体的结构,由一个各个部位和器官关节来组成的,而同样的,PE文件也有着它自己所独特的结构。只有有了特定的结构之后,整个文件才能更加有序和规律地去处理代码以及数据,去执行操作等一系列的过程。
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)
热门推荐
雨化于画
02-13 1万+
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件(PE,Portable...
从零开始的PE格式学习
bbszhenshuai的博客
05-15 600
导语 如果你想学习PE病毒的编写,那么你首先得知道PE的格式和他的工作原理。 PE的百度百科 PE(Protable Executable),即可移植的执行体。在Windows操作系统平台下,所有的可执行文件如EXE文件、DLL文件、SYS文件、OCX文件、COM文件等均使用PE结构。 PE文件的结构 一张简简单单的图送给各位 还有一个比较详细的pdf送给各位 链接:https://pan.baidu.com/s/1SGU2AUQvzoHU9Foxx1-UYQ 提取码:ckdi MS-DOS(DOS头)
实现hook OpenProcess实现ring3保护进程、代码
weixin_34315485的博客
02-20 3056
/*********************************实现hook OpenProcess实现ring3保护进程、、C++完整代码、、************************************************/#include <windows.h>PIMAGE_IMPORT_BY_NAME pImportByName = N...
PE文件格式详解
钞sir的博客
03-17 1万+
三千风雨三千雪 三千风雪我在写 流了一共三千血 你却始终不了解 简介 PE文件使用的是一个平面地址空间,所有的代码和数据都合并在一起,组成了一个很大的结构; 文件被分为不同的区块(Section,又成为区段或节等),区块中包含代码和数据,各个区块按页边界对齐; 区块没有大小限制,是一个连续结构;每一个块都有其自己的属性,如是否包含代码,是否可读可写等; PE文件的构成 MS-DOS头部 每个...
劫持ZwQuerySystemInformation进行进程隐藏
苞米地里捉小鸡的博客
10-14 1083
背景 进程隐藏,顾名思义就是运行注入程序之后,可以在任务管理器中让可见的目标进程消失。 当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码注入、进程内存替换、HOOK API 等等。我们本文要介绍的就是 HOOK API 函数 ZwQuerySystemInformation 实现的隐藏指定进程。 主要思路是通过Hook API技术抓ZwQuerySystemInformation函数,对它获取的进程列表信息进行修改,把有我们要隐藏的进程信息从中去掉,那么 ZwQuerySystemIn
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值