逆向工程学习录——Detour / Hook Functions

最新推荐文章于 2024-11-20 20:27:29 发布
原创 最新推荐文章于 2024-11-20 20:27:29 发布 · 322 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#游戏 #逆向

博客围绕游戏逆向展开,以HackMe.exe为例,介绍在游戏逆向中于执行函数处添加代码的方法。目标是hook扣血函数,将其改为double加血。通过Od定位扣血函数,把指令改为jmp [ourFunc]并在其中跳转回来,还说明了代码实现需覆写指令,最后运行游戏并注入dll实现跳转。

在游戏逆向中我们需要在某个执行函数的地方添加自己的代码。
案例:HackMe.exe

每按一次空格扣两滴血
目标:hook扣血函数,改为double加血
在这里插入图片描述
拉进Od后定位到扣血的函数如下图

00BB2740    55              push ebp
00BB2741    8BEC            mov ebp,esp
00BB2743    81EC CC000000   sub esp,0xCC
00BB2749    53              push ebx
00BB274A    56              push esi                                 ; HackMe.<ModuleEntryPoint>
00BB274B    57              push edi                                 ; HackMe.<ModuleEntryPoint>
00BB274C    51              push ecx                                 ; HackMe.<ModuleEntryPoint>
00BB274D    8DBD 34FFFFFF   lea edi,dword ptr ss:[ebp-0xCC]
00BB2753    B9 33000000     mov ecx,0x33
00BB2758    B8 CCCCCCCC     mov eax,0xCCCCCCCC
00BB275D    F3:AB           rep stos dword ptr es:[edi]
00BB275F    59              pop ecx                                  ; kernel32.771F6359
00BB2760    894D F8         mov dword ptr ss:[ebp-0x8],ecx           ; HackMe.<ModuleEntryPoint>
00BB2763    8B45 F8         mov eax,dword ptr ss:[ebp-0x8]
00BB2766    8B08            mov ecx,dword ptr ds:[eax]
00BB2768    2B4D 08         sub ecx,dword ptr ss:[ebp+0x8]
00BB276B    8B55 F8         mov edx,dword ptr ss:[ebp-0x8]
00BB276E    890A            mov dword ptr ds:[edx],ecx               ; HackMe.<ModuleEntryPoint>
00BB2770    8B45 F8         mov eax,dword ptr ss:[ebp-0x8]
00BB2773    8338 00         cmp dword ptr ds:[eax],0x0
00BB2776    7F 07           jg short HackMe.00BB277F
00BB2778    8B45 F8         mov eax,dword ptr ss:[ebp-0x8]
00BB277B    C640 08 01      mov byte ptr ds:[eax+0x8],0x1
00BB277F    5F              pop edi                                  ; kernel32.771F6359
00BB2780    5E              pop esi                                  ; kernel32.771F6359
00BB2781    5B              pop ebx                                  ; kernel32.771F6359
00BB2782    8BE5            mov esp,ebp
00BB2784    5D              pop ebp                                  ; kernel32.771F6359
00BB2785    C2 0400         retn 0x4

地址00BB2768 sub ecx,dword ptr ss:[ebp+0x8]
我们想要把该指令改为jmp [ourFunc]然后在ourFunc中在jmp回来。
在这里插入图片描述

代码实现

#include <Windows.h>

bool Hook(void* toHook, void* ourFunct, int len) {
	if (len < 5) {
		return false;
	}

	DWORD curProtection;
	VirtualProtect(toHook, len, PAGE_EXECUTE_READWRITE, &curProtection);

	memset(toHook, 0x90, len);

	DWORD relativeAddress = ((DWORD)ourFunct - (DWORD)toHook) - 5;

	*(BYTE*)toHook = 0xE9;//jmp
	*(DWORD*)((DWORD)toHook + 1) = relativeAddress;

	DWORD temp;
	VirtualProtect(toHook, len, curProtection, &temp);

	return true;
}

DWORD jmpBackAddy;
void __declspec(naked) ourFunct() {
	__asm {
		add ecx, ecx
		mov edx, [ebp - 8]
		jmp[jmpBackAddy]
	}
}

DWORD WINAPI MainThread(LPVOID param) {
	int hookLength = 6;
	DWORD hookAddress = 0xBB2768;
	jmpBackAddy = hookAddress + hookLength;

	Hook((void*)hookAddress, ourFunct, hookLength);

	while (true) {
		if (GetAsyncKeyState(VK_ESCAPE)) break;
		Sleep(50);
	}

	FreeLibraryAndExitThread((HMODULE)param, 0);

	return 0;
}

BOOL WINAPI DllMain(HINSTANCE hModule, DWORD dwReason, LPVOID lpReserved) {
	switch (dwReason) {
	case DLL_PROCESS_ATTACH:
		CreateThread(0, 0, MainThread, hModule, 0, 0);
		break;
	}

	return TRUE;
}

由于jmp指令最少占5字节,所以我们必须覆写连同目标指令下一条指令
在这里插入图片描述
连起来为6字节

运行HackMe 并注入dll
在这里插入图片描述
跳转成功
在这里插入图片描述

在这里插入图片描述

iOS逆向工程Hook原理
zhuxincheng_1218的专栏
02-12 341
FrameWork/dylib动态库注入 让工程和动态库有关联关系 修改MachO文件的Load Commands 在注入的动态库中,写上自己想要的代码 iOS中HOOK技术的几种方式 HOOK 原理 DYLD动态加载 ASLR随机地址 PIC位置代码独立 iOS中HOOK技术的几种方式 1、Method Swizzle    利用OC的Runtime特性,动态改变SEL(方法编号)和...
运用Detours库hook API
热门推荐
vcPlayer的专栏
07-20 1万+
 一、Detours库的来历及下载:        Detours库类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是保存堆栈环境的三条指令共5个字节:8B FF
hook-function
05-23
挂钩功能 一个小工具,用于在钩子之前和之后添加到另一个函数,没有额外的依赖关系 安装 // with npm npm install hook-function // or with yarn yarn add hook-function 例子 样例功能 function first ( ) { console . log ( '1st' ) ; } function second ( ) { console . log ( '2nd' ) ; } function main ( ) { console . log ( 'main' ) ; } const makeDelayFn = ( ms ) => function delayed ( ) { return new Promise ( ( resolve ) => { setTimeout (
DetoursHook
博文视点(北京)官方博客
04-09 2057
DetoursHook Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。 在游戏或外挂分析中,可以利用Detours库提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。 Detours Hook的3个关键概念 要理解Detours H
Detours Hook
04-09 244
Detours Hook Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/proj...
Hook Function
weixin_30872733的博客
12-02 196
Hook Function... 貌似Hacker/Cracker做的事情,不过我既不是Hacker,也不是Cracker,而是Game Programer...Game Programer,不仅要通晓图形图像,数学物理,貌似十八般武器,左道旁门都要耍一耍。今天,我也根据自己的实验过程,写一些Hook 方法,请各位大牛多批评指正。。。 本次Hook Function 的研究动因来自于对Memro...
一文了解钩子函数(Hook Functions)
最新发布
执剑人
11-20 1648
钩子函数是一种允许在软件执行过程中插入自定义逻辑的机制。它为开发者提供了一种灵活的方式,在某些特定的生命周期阶段或事件发生时,执行用户定义的代码,而无需直接修改框架或系统的核心逻辑。
【C++ Hook钩子技术(上)——Detour框架】如何玩转高端hook钩子技术,一个框架解决你的烦恼!便捷开发从此走上进阶之路
luoqiaoliang的博客
04-01 3315
你是否已经垂涎HOOK(钩子)技术已久,但是由于还怕它涉及系统底层而不敢轻易尝试。那么今天我将带你以一个HOOK框架入门C++初级进阶之路,从此让程序听你的话不再是梦。本篇内容介绍如何使用Detour库来搭建Hook Windows系统API的框架,并对常用API MessageBoxW进行挂钩,改变弹窗标题和弹窗内容。并使用xdbg通过逆向查看Detour Hook在代码层面对原始目标挂钩程序流程的改变。并非新技术和创新,大佬娱乐即可。相互学习,共同进步,欢迎大家留言讨论。
【C++ Hook钩子技术(下)——抓取企鹅消息】Detour Hook框架实战,抓取Tencent企鹅消息,挂钩函数,解析数据一步到位!
luoqiaoliang的博客
04-22 1787
光学不练假把式,当我们接触一个新知识的时候并非会认为这个知识很有用。只有当我们实际使用后才知道Hook是有多好“玩”,本期将带领各位进行Detour Hook框架的实战,抓取QQ消息并对抓取数据进行解析,注意这里是抓取本地消息并非获取他人的消息。博客仅供学习,不能用于其他商业和非法用途。另外,本期代码涉及到隐私内容,并不会完全公布代码,仅分享部分重要代码,再次申明本内容仅供学习
DetourHook 使用实例
11-19
DetourHook 是一种在Windows平台上广泛使用的动态代码插桩技术,它允许开发者在不修改目标程序源代码的情况下,拦截和修改函数调用的行为。DetourHook 技术的核心是Microsoft Research开发的Detours库,这是一个强大...
HookApi.rar_HookApi detour_VC settimer Hook_detour VC_detour hoo
09-24
在“HookApi”这个压缩包中,很可能包含了一个简单的工程文件,演示了如何在VC 6.0中编译和链接Detour库,并创建一个钩挂SetTimer的示例程序。这个程序可能会包含以下几个步骤: 1. 包含Detour库所需的头文件。 2. ...
Detour API Hook技术解析与示例
API Hook(应用程序编程接口钩子)是一种高级技术,通常用于软件开发中...掌握Detour API Hook技术不仅能够帮助开发者更好地理解和控制软件的运行机制,还能在逆向工程、安全研究、软件测试等高级领域发挥重要的作用。
Detour API HookDetour 源代码,库,和一个简单的例子)
02-22
Detour API HookDetour 源代码,库,和一个简单的例子)
APIHOOK例子(Detour
08-03
一个简单实例,通过Detour来对系统API进行HOOK,拦截系统API,做自己想做的事情。欢迎微信交流 zhxunCC
Detour实例(DETOURHOOK API)
04-03
一份利用DETOURHOOK API的实例代码,值得借鉴。。。。
使用Detours进行HOOK
qq_18811919的博客
03-31 1441
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
常用的逆向工程钩子
随心散人专栏
03-07 2072
::InitializeCriticalSection(&section); HMODULE handle = LoadLibrary(TEXT("kernel32.dll")); HMODULE handle2 = LoadLibrary(L"msvcr90.dll"); if (handle != NULL) { pGetQueueCompletionStatusType = (G
Windows下的函数hook技术
klabc的专栏
08-29 1953
都是很成熟的东西了,这几天看了看,总结一下而已。讨论了Windows下hook函数的几种方法。提供了一个hook TextOutA的完整例子。通过CreateRemoteThread的方法把hook dll注入到一个普通的应用程序中。Hooking Imported Functions by name调用imported functions时的步骤/实现在程序中调用从其它模块引入的函数的方法和普通
简明的Detours Hook教程
天外飞猪的家
12-24 1万+
tag: Hook, Detours,Windows,CreateRemoteThread,MessageBox 前言     项目开发中需要跟踪其它程序的API调用情况。但厂商又无源码提供,故只好自己动手去Trace了。     Google/Baidu了许久,也搜集了很多代码。也经过实验和测试,总结了本文供大家参考。     本文针对Windows Hook技术在编程中的应用进行讨论,
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值