Hook检测

检测OpenGL32.dll钩子:代码检查内存篡改
最新推荐文章于 2023-01-04 21:31:47 发布
原创 最新推荐文章于 2023-01-04 21:31:47 发布 · 727 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这段代码展示了如何使用`CheckHooks`函数检查opengl32.dll中'glBegin'函数是否被修改,通过对比内存中的原始和检查数据来判断是否存在hook。它用于检测潜在的代码注入或安全漏洞。 
bool CheckHooks(const char* pszModule, const char* pszMethod, BYTE* pBytesToCheck, DWORD dwSize)
{
  bool bOK = false;
  HANDLE hProcess = ::GetCurrentProcess();
  HMODULE hModule = ::GetModuleHandle(pszModule);
  if (!hModule)
    return true; //The dll aint loaded
  LPVOID pAddress = ::GetProcAddress(hModule, pszMethod);

  // change the page-protection for the intercepted function
  DWORD dwOldProtect;
  if (!::VirtualProtectEx(hProcess, pAddress, dwSize, PAGE_EXECUTE_READ, &dwOldProtect))
    return false;

  //Read the bytes to see if someone hooked that function
  BYTE* pBytesInMem = (BYTE*)malloc(dwSize);
  DWORD dwRead = 0;
  if (::ReadProcessMemory(hProcess, pAddress, pBytesInMem, dwSize, &dwRead))
  {
    bOK = 0 != memcmp(pBytesInMem, pBytesToCheck, dwRead);

    /*
    char szAddress[_MAX_PATH];
    sprintf(szAddress, "%s::%s - at %lx - %s", pszModule, pszMethod, pAddress, bOK ? "OK" : "HACK");
    AgLog(szAddress);
    HANDLE hFile = CreateFile("c:\\temp.bin", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, CREATE_ALWAYS, NULL, NULL);
    DWORD dwWritten;
    WriteFile(hFile, pBytesToCheck, dwRead, &dwWritten, NULL);
    CloseHandle(hFile);  
    */
  }

  //
  // restore page protection
  //
  VirtualProtectEx(hProcess, pAddress, dwSize, dwOldProtect, &dwOldProtect);

  free(pBytesInMem);

  return bOK;
}        
 代码调用方法


BYTE byHokoHack[1] = {0xE8};
BYTE byRegularJumpHack[1] = {0xE9};
if ( !CheckHooks("opengl32.dll", "glBegin", byHokoHack, sizeof(byHokoHack))
|| !CheckHooks("opengl32.dll", "glBegin", byRegularJumpHack, sizeof(byRegularJumpHack))
)
{
m_sDll = "opengl32.dll (patched)";
return 11;
}

用法:

BYTE byHokoHack[1] = {0xE8}; 
  BYTE byRegularJumpHack[1] = {0xE9}; 
  if ( !CheckHooks("opengl32.dll", "glBegin", byHokoHack, sizeof(byHokoHack))
    || !CheckHooks("opengl32.dll", "glBegin", byRegularJumpHack, sizeof(byRegularJumpHack))
    )

安卓逆向环境检测--hook
weixin_44348983的博客
06-26 3935
安卓、逆向、检测
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2710
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
各种HOOK方式和检测对抗方法
热门推荐
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截发包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Android hook检测(安全方向)
weixin_41508948的博客
09-19 9869
什么是hook 所谓hook技术,就是通过一段代码(反射、代理)侵入到App启动过程中,在原本执行的代码前插入其它的功能。比如:通过hook技术,上传登陆页面的账号密码等。 干货 对于主流hook框架(Xposed、Cydia Substrate),通常有以下三种方式来检测一个App是否被hook: 安装目录中是否存在hook工具 存储中是否存在hook安装文件 运行栈中是否存在ho...
hook技术的应用-过某平台作弊检测
weixin_34272308的博客
12-08 1316
上回书说完检测方法就戛然而止了,这篇文章就来谈谈如何过检测。 首先回顾一下平台对作弊的检测方法,检测开始前平台准备一个单位列表,在列表中,有玩家可见的单位和玩家视野外的单位。 地图脚本会强迫玩家点击每个在列表里的单位。 如果玩家选中了不可见的单位(视野外或者隐身单位)或者玩家没有选中可见单位 都会提高作弊的置信程度 1 for _,__0x0150__ in ipairs(__0x7...
【iOS应用安全、安全攻防】hook及越狱的基本防护与检测(动态库注入检测hook检测与防护、越狱检测、签名校验、汇编分析、IDA反编译分析加密协议Demo);.zip
02-26
本压缩包内容围绕iOS应用安全、安全攻防,特别是针对动态库注入检测hook检测与防护、越狱检测、签名校验、汇编分析、以及IDA反编译分析加密协议等方面进行了深入探讨,并提供了一系列的防护策略和检测方法。...
ZXHookDetection:【iOS应用安全、安全攻防】hook及越狱的基本防护与检测(动态库注入检测hook检测与防护、越狱检测、签名校验、IDA反编译分析加密协议Demo);【数据传输安全】浅谈http、https与数据加密
05-27
越狱检测 1.使用NSFileManager通过检测一些越狱后的关键文件/路径是否可以访问来判断是否越狱 常见的文件/路径有 static char *JailbrokenPathArr[] = {"/Applications/Cydia.app","/usr/sbin/sshd","/bin/bash","/...
基于java实现的在 Android 上的模拟器检测,多开检测Hook检测
04-25
应对方法:主要是检测运行模拟器的一些特征,比如驱动文件,Build类内的硬件讯息等。 比如Build类内有模拟器的字串,明显就是模拟器 Anti 多开 多开麻烦在于真机多开,具备真机特征,模拟器的检测就失效了,因为...
Objective-C逆向工程防护:运行时Hook检测代码混淆进阶.pdf
最新发布
07-02
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
向进程注入托管程序集(Hook ReadProcessMemory Api)(C#源码)
07-18
托管程序集是否能被注入,这个问题一直以来都被否定,但easyhook给了我们一个解决方案
Hook WriteProcessMemory & ReadProcessMemory
06-08
这个小工具可以跟踪某些内存修改器或内存补丁的行为 源码地址http://download.youkuaiyun.com/source/1570845
利用ReadProcessMemory实现了进程间通信
06-30
主要是利用了ReadProcessMemory实现了进程间通信 1、首先运行TestApp.exe 发送方 2、然后运行RavApp.exe 接收方 3、让后将RavApp.exe中的文本框中的字符串即窗口句柄复制到TestApp.exe文本框中 4、点击TestApp.exe上的发送,数据就从TestApp.exe发送到了RavApp.exe 非常直观,效率也还可以
Hook WriteProcessMemory & ReadProcessMemory 源码
08-13
有人要源码,那就拿出来分享咯,凑字凑字凑字凑字凑字
内核级利用通用Hook函数方法检测进程
zhiyuanjack的专栏
06-24 881
请参阅:http://www.xfocus.net/articles/200505/798.html
检测Hook和ROP攻击: 方法与实例
weixin_33724046的博客
06-01 1961
一、简介 有时候,我们的应用程序会遭受网络犯罪分子使用Hook或ROP攻击,所以必须找到有效的方法来保护它们。在本文中,我描述了一个案例:当一个局外人(第三方应用程序,恶意软件或逆向工程师)在我们的应用程序中拦截系统调用以更改其行为或监控其性能时,如何检测。 我还描述了针对以下攻击类型的两种保护方法: · Hook需要将第三方代码注入到目标应用程序中以更...
IAT hook D3D透视源码 过检测的写法
分享各种编程技术
05-25 3231
文章转载来源:http://www.moguizuofang.com/bbs/thread-31432-1-1.html 原创公布了 hook方法,但没使用方法, 主流射击游戏通用,此代码仅供学习研究,游戏公司尽早修复漏洞 #include "stdafx.h" #include <d3d9.h> #include <d3dx9.h> #pragma comment(li...
Android Hook技术防范漫谈
一个有情怀的程序猿博客
06-28 4001
背景 当下,数据就像水、电、空气一样无处不在,说它是“21世纪的生产资料”一点都不夸张,由此带来的是,各行业对于数据的争夺热火朝天。随着互联网和数据的思维深入人心,一些灰色产业悄然兴起,数据贩子、爬虫、外挂软件等等也接踵而来,互联网行业中各公司竞争对手之间不仅业务竞争十分激烈,黑科技的比拼也越发重要。随着移动互联网的兴起,爬虫和外挂也从单一的网页转向了App,其中利用Android平台下Dalvik模式中的Xposed Installer和Cydia Substrate框架对App的函数进行Hook这..
对Android Hook检测技术的一些浅谈
weixin_42673574的博客
01-04 1508
针对xposed hook、frida hook检测话,还有一种方法,就是被xposed hook的Java方法修饰符都会变成native,3.通过mmap将文件映射到内存,然后把内容传给ELF解析工具,获取其.text段的偏移和大小。这种方式最好放到线程里面去做,缺陷是app自身不能使用inline hook,否则也会被检测到。对比内存中的.text段和文件中的.text的crc是否相等。2.匹配到你需要检测的so文件,获取其的加载基地址和文件路径。比如检测libxxx.so,命名空间,指定类等等。
inline hook检测
05-09
### 实现 Inline Hook检测方法 Inline Hook 是一种通过修改目标函数入口处的指令,将其跳转到另一个位置的技术。为了检测程序中是否存在 Inline Hook,可以采用以下几种方式: #### 1. **比较原始函数与内存中的代码** 可以通过读取目标函数的二进制数据并与已知未被 Hook 的版本进行对比来判断是否有改动。如果发现目标函数的起始部分被替换成了 `JMP` 或其他跳转指令,则可能已被 Inline Hook 修改。 ```python import ctypes def detect_inline_hook(function_address, original_bytes): """ 检测指定地址上的函数是否被 Inline Hook 替换。 :param function_address: 被检测的目标函数地址 (int) :param original_bytes: 原始函数开头字节序列 (bytes) :return: 如果存在差异返回 True;否则 False """ byte_length = len(original_bytes) buffer = (ctypes.c_ubyte * byte_length).from_address(function_address) current_bytes = bytes(buffer) return current_bytes != original_bytes # 示例:假设我们知道某个函数的原始前缀字节 original_function_prefix = b"\x55\x8B\xEC" # 假设这是原生函数的前三条汇编指令对应的机器码 function_to_check = 0x7FFEFAA9C3F0 # 目标函数地址 is_hooked = detect_inline_hook(function_to_check, original_function_prefix) print(f"Function is hooked: {is_hooked}") ``` 这种方法依赖于事先知道目标函数的原始字节序列[^1]。 --- #### 2. **扫描模块导入表和导出表** 对于某些类型的 Inline Hook(如 IAT/EAT Hook),它们可能会篡改 PE 文件结构中的导入/导出表。因此,可以通过分析这些表项的内容变化来间接推断是否存在 Hook 行为。 以下是伪代码逻辑描述: - 加载目标进程的映像文件头; - 提取出其 `.idata` 和 `.edata` 区域的信息; - 对比实际加载的 API 地址与预期的标准库地址列表之间的偏差情况。 此过程较为复杂,涉及 Windows 平台下 PEB 结构解析等内容[^2]。 --- #### 3. **利用调试工具或反汇编框架动态跟踪** 借助第三方库(例如 PyDbg、WinAppDbg 或者 IDAPython)可以在运行时捕捉异常行为模式。当遇到可疑的 JMP/CALL 流向未知区域而非官方 DLLs 中定义的位置时即可怀疑该处可能存在 Inline Hook 插入点[^3]。 示例脚本片段如下所示: ```c++ #include <windows.h> #include <iostream> bool CheckForInlineHooks(void* funcAddr) { DWORD oldProtect; VirtualProtect(funcAddr, 6, PAGE_EXECUTE_READWRITE, &oldProtect); BYTE firstByte = *(BYTE*)funcAddr; bool result = false; if ((firstByte == 0xE9 || firstByte == 0xE8)) { // Relative Jump or Call instruction opcodes. std::cout << "Potential inline hook detected!" << std::endl; result = true; } VirtualProtect(funcAddr, 6, oldProtect, nullptr); return result; } ``` 以上 C++ 版本展示了如何检查给定指针所指向存储单元内的首几个字节是否符合典型的重定向特征。 --- #### 总结 综上所述,针对 Inline Hook检测可以从静态角度出发——即基于文件层面的数据一致性校验;也可采取动态手段实时监控应用程序的行为轨迹寻找蛛丝马迹。每种策略都有各自的优缺点以及适用场景,请根据实际情况灵活选用合适的方法组合来进行综合判定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值