伪任意地址HOOK类

最新推荐文章于 2024-07-03 07:45:00 发布
原创 最新推荐文章于 2024-07-03 07:45:00 发布 · 置顶 · 5.8k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#任意地址HOOK #HOOK类 #HOOK

前言
代码HOOK技术不管在安全领域还是在木马病毒方面都运用很广泛,因为他可以改变程序执行流程,悄无声息执行我们自己的代码。

之前我也用过一些hook类,如mhook等,但很多都局限于API HOOK,有的时候无法满足实际应用。也因此,我自己的hook类就诞生了。

先贴核心代码(完整代码下载地址见本文结尾):

//Hook.h
#pragma once
 
struct t_Context
{
        DWORD EDI;
        DWORD ESI;
        DWORD EBP;
        DWORD ESP;
        DWORD EBX;
        DWORD EDX;
        DWORD ECX;
        DWORD EAX;
};
 
class CHook
{
public:
        CHook(void);
        ~CHook(void);
        // 添加Hook
        bool AddHook(__in DWORD dwHookAddr, __in void *pfnHookProc);
        // 移除Hook
        bool RemoveHook();
        // 寄存器结构体
        t_Context m_Context;
        // 返回地址,没有特殊需求不要修改这里
        DWORD m_dwRetAddr;
private:
        // 保存Hook地址,用于RemoveHook
        DWORD m_dwHookAddr;
        // 保存原始字节,用于RemoveHook
        BYTE m_OldCode[5];
};
//Hook.cpp
#include "StdAfx.h"
#include "Hook.h"
#include "MyOutputDebugString.h"
 
//BeaEngine 反汇编引擎
#define BEA_ENGINE_STATIC
#define BEA_USE_STDCALL
#include "bea/headers/BeaEngine.h"
#pragma comment(lib, "bea/win32/lib/BeaEngine.lib")
#pragma comment(linker,"/nodefaultlib:crt.lib")
//BeaEngine end
 
//XEDParse 汇编引擎
#include "XEDParse/XEDParse.h"
#pragma comment(lib,"XEDParse/XEDParse.lib")
 
CHook::CHook(void)
{
        memset(&m_Context, 0, sizeof(m_Context));
        memset(m_OldCode, 0x90, 5);
        m_dwRetAddr = 0;
        m_dwHookAddr = 0;
}
 
 
CHook::~CHook(void)
{
}
 
 
// 添加Hook
bool CHook::AddHook(__in DWORD dwHookAddr, __in void *lpHookProc)
{
        //00240000    60              PUSHAD
        //00240001    9C              PUSHFD
        //00240002    BF 00012400     MOV EDI,0x240100
        //00240007    8BF4            MOV ESI,ESP
        //00240009    83C6 04         ADD ESI,0x4
        //0024000C    B9 20000000     MOV ECX,0x20
        //00240011    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]     ; 保存寄存器结构体,备用
        //00240013    B8 90909090     MOV EAX,0x90909090
        //00240018    FFD0            CALL EAX                                         ; 调用HookPro
        //0024001A    9D              POPFD
        //0024001B    61              POPAD
最低0.47元/天 解锁文章

200万优质内容无限畅学
sunflover454
关注
c# hook 任意地址
qq_38754671的博客
05-10 1329
 #region hook注入操作         /// <summary>        /// 任意地址hook        /// </summary>        /// <param name="Hwnd">进程句柄</param>        /// <param name="hookaddress">hook
发一个支持任意地点hook(包含驱动hook和应用层hook)
u013594602的专栏
02-07 1864
这是以前练习写驱动的一个产物,  有点早了,很简单. 写这个也是方便自己绕过某些驱动的保护钩子.  当然这个也只支持x86, 没有做x64的拓展. 因为只是方便自己不需要每次都copy一大堆代码; 如果需要x64的拓展的,可以参考detours 或者是 EasyHook.   比较好的是EasyHook提供了驱动的hook; 貌似关于驱动写论坛上比较少, 对于驱动,大家更倾向于直接
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
使用hotfix技术来HOOK任意位置代码的手艺
TCP/IP
03-26 3310
假设一个内核函数,test,如下: void test() { condition = update_something(); if (condition == 1) { M1(); } else { return; } } 现在需要统计在test中进入M1函数的次数,怎么办? 很简单,使用kpatch技术即可,或者,使用kprobe技术,亦可。但这些成熟的技术没有可玩性,它们属...
深入探讨任意地址HOOK技术及其实用案例
"任意地址HOOK"的优势在于它不仅仅局限于API HOOK,它可以通过一些特殊的方式,如通过搜索内存中的特征码,找到需要hook的函数的地址,然后进行hook。这种方式的灵活性和适用性更高,但是实现起来也更加复杂。 ...
c语言hook拦截函数参数,运行时Hook所有Block方法调用的技术实现
weixin_29416037的博客
05-19 1166
1.方法调用的几种Hook机制iOS系统中一共有:C函数、Block、OC方法三种形式的方法调用。Hook一个方法调用的目的一般是为了监控拦截或者统计一些系统的行为。Hook的机制有很多种,通常良好的Hook方法都是以AOP的形式来实现的。当我们想Hook一个OC的某些具体的方法时可以通过Method Swizzling技术来实现、当我们想Hook动态库中导出的某个C函数时可以通过修改导入函数...
Webpack: 插件架构之Hook体系
最新发布
Wang的专栏
07-03 1620
Webpack 之所以能够应对 Web 场景下极度复杂、多样的构建需求,关键就在于其健壮、扩展性极强的插件架构,而插件架构的精髓又在于其灵活多变的 Hook 体系,可以说,只有真正掌握 Hook 底层设计与实现逻辑,深入理解不同 Hook 的运行特性与用法,才能灵活处理各种问题,更快更好地编写出 Webpack 插件。
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
06-26
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
简单linux 下 x64任意地址的inlinehook
liutianheng654的博客
03-25 1624
相对主流工具frida,更加快速的inlinehook,代码简单,可以针对性进行修改
【更新】HOOK任意地址-易语言
06-12
1.添加插入头部代码 2.添加插入尾部代码 3.修复卸载时 寄存器地址 许可证 泄露问题
通过HOOK 进行IP转发/拦截-易语言
06-12
通过HOOK 进行IP转发/拦截
hook网卡地址(支持多网卡)-易语言
06-12
参考:https://bbs.125.la/forum.php?mod=viewthreadtid=14437323extra= 就换了一个逼格好点的库,重写了些代码支持多网卡,里面有注释 里面的取网卡地址的好像有点问题,反正重点是hook mac
XEDParse_汇编引擎·二改 By:美夜赤月
06-02
1.修复了size为0的错误。 2.增加对多行汇编的支持。 欢迎大家完善这个引擎。 开源只为了更好的,独享不如共享!。 @821652228。
XEDParse_汇编引擎·二改 By:美夜赤月-易语言
06-12
1.修复了size为0的错误 2.增加对多行汇编的支持
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
Hook--拦截IP地址访问
世事易变,匪石弗转。
10-31 865
实现一个网络访问过滤器,允许或拒绝网络连接和接受请求,基于一个黑名单中的IP地址列表。
PC微信逆向HOOK消息之快速更新找到HOOK地址
qq_2974520784的博客
01-13 1549
SessionMgr::processMsgAdd地址+66就是消息HookCall 取Edi 就可以获取消息内容与id。右键Find搜索字符串SessionMgr::processMsgAdd。提示:用到的工具 Od。
记一次hook mac地址实现装硬件码
Hello_wshuo
08-04 3397
1. 前言 好久没写文章了,工作比较忙,不过我还是对技术比较热爱,即使它不能给我带来利益,保持初心。 工作期间遇到一个问题,连接vpn的软件是校验机器硬件码,不是公司电脑不让使用vpn软件,上下班已经让我搞得筋疲力尽了,我不想每天背个电脑回家,这还怎么让我在家愉快的加班? 2. 分析 首先,我能想到硬件码当然是mac地址,为了验证我自己的想法,我需要将mac地址设置成与公司电脑mac地址相同的地址。 这里windows 上有简单的修改mac地址的方法,通过修改注册表,简单来说就是给注册表增加选项,让
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值