【学习笔记2】hook,PE文件

最新推荐文章于 2023-06-13 10:07:56 发布
最新推荐文章于 2023-06-13 10:07:56 发布
阅读量629 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 学习笔记 文章标签: hook PE文件 OCX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010203393/article/details/8837361
本文介绍了Hook机制的工作原理及应用,包括其本质、消息触发、安装方式等内容,并详细解析了PE文件格式及其常见类型如exe、dll等,还对比了控件、组件和插件的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

三、hook 钩子

参考 http://baike.baidu.com/view/626139.htm

(1)本质:一个处理消息的程序段。通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。

(2)消息触发:当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程。

每一个Hook(钩子)都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。这个列表的指针指向该钩子的各个处理子程。

(3)钩子机制:允许应用程序截获处理window消息或特定事件。

(4)钩子安装,入栈:最近安装的钩子放在链的开始, 而最早安装的钩子放在最后,也就是后加入的先获得控制权。

(5)Hook子程:可以只监视消息,或加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递,避免这些消息传递到下一个Hook子程或者目的窗口。

(6)依据使用范围,分为

线程钩子:监视指定线程的事件消息。

系统钩子:监视系统中的所有线程的事件消息。因为系统钩子会影响系统中所有的应用程序,所以钩子函数必须放在独立的动态链接库(DLL)

四、PE文件 、OCX

1.PE文件

(1)Portable Executable 一种二进制文件,可执行

(2)常见的PE文件:exe,dll,ocx,sys,com 

(3)参考:对PE文件的详解,包括文件结构、如何存储

http://www.360doc.com/content/10/0114/13/59579_13522537.shtml

http://www.vckbase.com/index.php/wv/1057

2.OCX   http://baike.baidu.com/view/393671.htm?func=retitle  

(1)对象链接和嵌入用户控件  Object Linking and Embedding (OLE) Control eXtension

(2)ocx是ocx控件的扩展名

3.控件、组件、 插件的区别:http://blog.youkuaiyun.com/xiaomianao2010/article/details/5959004

[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
热门推荐
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
PE文件格式与API HOOK
zacklin的专栏
04-27 622
对于windows低层编程来说,进行API拦截始终是一件让人激动的事,用自己的代码来改变其它程序的行为,还有比这个更有趣吗?而且,在实现API拦截的过程中我们还有机会去熟悉许多在RAD编程环境中很少接触的东西,如DLL远程注入、内存管理,PE文件格式等知识。许多商业软件,如金山词霸等词典软件,各种即时汉化软件、甚至一些网络游戏的外挂中都用到了这种技术,各种调试工具中多多少少也要用到这种技术。 实
API HOOKPE文件的关系
weixin_30505225的博客
01-11 123
api hook技术的难点,并不在于hook技术,而在于对PE结构的学习和理解。如何修改api函数的入口地址?这就需要学习pe可执行文件(.exe,.dll等)如何被系统映射到进程空间中,这需要学习pe格式的基本知识。windows已经提供了很多数据结构struct帮助我们访问pe格式,记住它们,我们就不要自己计算格式的具体字节位置这些繁琐的细节。但是从api hook的实现来看,...
浅淡 “对 HOOK PE 的学习体会”
xum2008的专栏
03-05 702
浅淡 “对 HOOK PE 的学习体会” 我们都知道,对于PE 文件的结构中,有一个叫做导出表的东西,这个表中存放着这个程序运行所需要的函数。这些函数都存放在一个结构中。如果,我们能够替换这个结构中的某些地址,那么,我们就能够在程序执行之前,拿到控制权。下边看一下这个结构的示意图:从这个图中,我们可以清楚的看到,导出表函数名和函数地址组成,它们可以通过导出表获得:pModu
使用PE文件格式 HOOK 其他进程API
oldmtn的专栏
06-30 1405
今天研究了一下HOOK 其他进程API的方法 有2个前提 1. 使用远程线程注入, 具体可以参考《Windows核心编程》中22-InjLib里面的代码 2. 更改被注入线程所要调用的API地址 2.1 方法一:实用一个网上一个大牛写的类CHookInfo HookInfo.h typedef struct _HOOKSTRUCT { FARPROC pfFunAddr; /
PE基础7-HOOK练习
weixin_30505485的博客
07-01 191
HOOK练习 头文件内容 #include <windows.h> ​ // Inline Hook: 原理是修改程序执行流程上的代码,使代码可以从目标地址跳转到 // 指定的位置,从而获取函数的调用情况。微软专门给所有的库函数 // 提供了 6 字节的垃圾指令进行 Hook。 ​ // Inline Hook 要...
PE系列学习笔记八 实战之HOOK程序添加弹窗
xiaotuge_always的博客
04-24 830
前面学习了PE的结构后,尝试结合先前所学,修改PE文件来实现给程序添加弹窗的功能 PS:这篇笔记并没有怎么涉及PE的知识点,重点放在了HOOK、反汇编和硬编码上,对PE不是很了解也可以看看,涉及PE知识点的内容放在了后面的笔记:PE学习笔记九 实战之HOOK程序添加弹窗续,可以放心食用( ̄︶ ̄)↗ PE实战之给程序添加弹窗 修改流程 要给程序添加弹窗,首先就是要了解其修改的流程 首先要修改的便是程序原本的入口地址,将其修改为弹窗代码所在的地址 弹窗代码所在的地址,要在PE文件中找到一片区域,该区域需要 满足
PE文件IAT Hook技术解析:从驱动程序导入表入手
2. 解析PE文件结构,找到`IMAGE_DOS_HEADER`和`IMAGE_NT_HEADERS`,以获取导入表的地址。 3. 使用`IMAGE_IMPORT_DESCRIPTOR`遍历每个导入的DLL,并找到`CreateWindowEx`所在的DLL。 4. 在对应的`IMAGE_THUNK_DATA`...
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6628
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
利用API hook拦截技术监视文件操作.pdf
02-23
介绍了API拦截(API Hook)技术及其应用领域,并在此基础上,详细说明了利 用陷阱式API HOOK技术实现文件操作监视的原理和实现方法
PE文件格式分析程序
03-14
用VC++6.0编写的PE文件格式分析程序,对学习PE文件格式很有用。
PE】inline hook的实现
woodwhale的博客
04-23 804
学习一下inline hook
Hook实现文件监控
sinat_36391009的博客
11-29 7296
介绍 该Windows文件监控系统旨在为Windows环境中的文件提供安全性。我需要设计一个应用程序来监视Windows上的文件打开、关闭和保存操作,并限制用户在安装此实用程序之前访问文件类型的子集。这是通过连接Windows文件相关api,然后根据需要在Windows中对文件进行打开、保存和关闭操作的预处理来实现的。预处理可能是对文件进行加密,破坏文件的标题部分等。如果在系统上安装了这个实用程序...
PE基础6_远程线程注入-HOOK(消息-InLine-IAT)
weixin_30321449的博客
06-29 326
注入 概述 DLL注入的初始动力源自于程序员对其他第三方应用程序进行功能扩展的愿望 注入方式有 注册表注入 ComRes注入 APC注入 消息钩子注入 远程线程注入 依赖可信进程注入 劫持进程创建注入 输入法注入 远程线程注入 //要加载的dll路径 WCHAR szD...
【Inline Hook应用篇】限制打开文件选择对话框
Fzuim的博客
07-31 1428
我们要实现限制程序不允许发送文件,可以通过限制“文件选择对话框”实现。对于文件选择对话框的限制,基础点的就是Hook:GetOpenFileName、SHBrowseForFolder,对这两个API的Hook,可以限制市面上80%的文件发送,但对于QQ之类的在XP系统以上就不能成功限制了。具体是因为QQ在选择文件发送的对话框,采用COM接口来实现,所以要限制QQ发送文件,还需要额外Hook C...
浅谈 “我对 HOOKPE 的理解”
xum2008的专栏
02-26 762
对于 HOOK 技术,我想大家都比较了解了,今天,搞了一个晚上的 HOOK PE, 希望能够达到勾住 到处函数的目的,技术不是什么新技术,仅仅为了了解它的工作过程而已。。。网上代码有现成的,不过,写得有些不对的地方。。。 1:在获取模块基址的时候,函数使用错了。。。 应该是这样,不然,你的程序就悲剧了,调试了老半天才发现,  pName = strrchr( pSysModule-
【Android】Frida Hook 文件读写操作
HWHXY的博客
06-13 4263
在挖掘客户端漏洞的时候,通常会关注应用对什么文件进行了读写操作,当我们能控制被读的文件或观测到敏感写入的文件,通常可以造成一定危害。本文详细介绍了如何通过frida监控文件读写操作。
PE文件IAT HOOK技术实现详解
资源摘要信息:"IAT HOOK技术是通过修改可执行文件(PE文件)中的导入地址表(IAT),来改变程序中函数调用的过程。本文档将对IAT HOOK技术进行分析,并详细解释如何通过修改函数入口点来实现IAT HOOK。 IAT HOOK技术的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值