一份非常棒的inline hook代码

最新推荐文章于 2019-11-17 15:18:17 发布
最新推荐文章于 2019-11-17 15:18:17 发布
阅读量1.2k 收藏
点赞数
文章标签: hook byte object string include
本文介绍了一种在Windows内核模式下实现Apc钩子的方法,通过修改KiInsertQueueApc函数来实现对Apc的拦截与代理调用。文章详细展示了如何寻找KiInsertQueueApc地址并进行内联钩子操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 #include <ntddk.h> #include <ntifs.h>#include <windef.h>ULONG g_KiInsertQueueApc;ULONG g_uCr0; BYTE g_HookCode[5] = { 0xe9, 0, 0, 0, 0 };BYTE g_OrigCode[5] = { 0 }; // &Ocirc;&shy;&ordm;&macr;&E ...
#include <ntddk.h>
#include <ntifs.h>
#include <windef.h>
ULONG g_KiInsertQueueApc;
ULONG g_uCr0;

BYTE g_HookCode[5] = { 0xe9, 0, 0, 0, 0 };
BYTE g_OrigCode[5] = { 0 }; // &Ocirc;&shy;&ordm;&macr;&Ecirc;&yacute;&micro;&Auml;&Ccedil;°×&Ouml;&frac12;&Uacute;&Auml;&Uacute;&Egrave;&Yacute;
BYTE jmp_orig_code[7] = { 0xEA, 0, 0, 0, 0, 0x08, 0x00 }; //&Ograve;ò&Icirc;&ordf;&Ecirc;&Ccedil;&sup3;¤×&ordf;&Ograve;&AElig;&pound;&not;&Euml;ù&Ograve;&Ocirc;&Oacute;&ETH;&cedil;&ouml; 0x08

BOOL g_bHooked = FALSE;

VOID
fake_KiInsertQueueApc (
    PKAPC Apc,
    KPRIORITY Increment
    );
   
VOID
Proxy_KiInsertQueueApc (
    PKAPC Apc,
    KPRIORITY Increment
    );

void WPOFF()
{
  
    ULONG uAttr;
  
    _asm
    {
        push eax;
        mov eax, cr0;
        mov uAttr, eax;
        and eax, 0FFFEFFFFh; // CR0 16 BIT = 0
        mov cr0, eax;
        pop eax;
        cli
    };
  
    g_uCr0 = uAttr; //±&pound;&acute;&aelig;&Ocirc;&shy;&Oacute;&ETH;&micro;&Auml; CRO &#338;&Ugrave;&ETH;&Ocirc;
  
}

VOID WPON()
{
  
    _asm
    {
        sti
        push eax;
        mov eax, g_uCr0; //&raquo;&Ouml;&#143;&Iacute;&Ocirc;&shy;&Oacute;&ETH; CR0 &#338;&Ugrave;&ETH;&Ocirc;
        mov cr0, eax;
        pop eax;
    };
  
}


//
// &Iacute;&pound;&Ouml;&sup1;inline hook
//
VOID UnHookKiInsertQueueApc ()
{
    KIRQL  oldIrql;

    WPOFF();
    oldIrql = KeRaiseIrqlToDpcLevel();
   
    RtlCopyMemory ( (BYTE*)g_KiInsertQueueApc, g_OrigCode, 5 );

    KeLowerIrql(oldIrql);
    WPON();

    g_bHooked = FALSE;
}


//
// &iquest;&ordf;&Ecirc;&frac14;inline hook --  KiInsertQueueApc
//
VOID HookKiInsertQueueApc ()
{
    KIRQL  oldIrql;

    if (g_KiInsertQueueApc == 0) {
        DbgPrint("KiInsertQueueApc == NULL/n");
        return;
    }

    //DbgPrint("&iquest;&ordf;&Ecirc;&frac14;inline hook --  KiInsertQueueApc/n");
    DbgPrint( "KiInsertQueueApc&micro;&Auml;&micro;&Oslash;&Ouml;·t0x%08x/n", (ULONG)g_KiInsertQueueApc );
    // ±&pound;&acute;&aelig;&Ocirc;&shy;&ordm;&macr;&Ecirc;&yacute;&micro;&Auml;&Ccedil;°×&Ouml;&frac12;&Uacute;&Auml;&Uacute;&Egrave;&Yacute;
    RtlCopyMemory (g_OrigCode, (BYTE*)g_KiInsertQueueApc, 5);//&iexcl;&iuml;
    *( (ULONG*)(g_HookCode + 1) ) = (ULONG)fake_KiInsertQueueApc - (ULONG)g_KiInsertQueueApc - 5;//&iexcl;&iuml;
   
   
    // &frac12;&ucirc;&Ouml;&sup1;&Iuml;&micro;&Iacute;&sup3;&ETH;&acute;±&pound;&raquo;¤&pound;&not;&Igrave;á&Eacute;&yacute;IRQL&micro;&frac12;DPC
    WPOFF();
    oldIrql = KeRaiseIrqlToDpcLevel();
 
    RtlCopyMemory ( (BYTE*)g_KiInsertQueueApc, g_HookCode, 5 );
    *( (ULONG*)(jmp_orig_code + 1) ) = (ULONG) ( (BYTE*)g_KiInsertQueueApc + 5 );//&iexcl;&iuml;
   
    RtlCopyMemory ( (BYTE*)Proxy_KiInsertQueueApc, g_OrigCode, 5);//&ETH;&THORN;&cedil;&Auml;Proxy_KiInsertQueueApc&ordm;&macr;&Ecirc;&yacute;&Iacute;·
    RtlCopyMemory ( (BYTE*)Proxy_KiInsertQueueApc + 5, jmp_orig_code, 7);

    // &raquo;&Ouml;&cedil;&acute;&ETH;&acute;±&pound;&raquo;¤&pound;&not;&frac12;&micro;&micro;&Iacute;IRQL
    KeLowerIrql(oldIrql);
    WPON();

    g_bHooked = TRUE;
   
   
}

//
// &Igrave;&oslash;×&ordf;&micro;&frac12;&Icirc;&Ograve;&Atilde;&Ccedil;&micro;&Auml;&ordm;&macr;&Ecirc;&yacute;&Agrave;&iuml;&Atilde;&aelig;&frac12;&oslash;&ETH;&ETH;&Ocirc;¤&acute;&brvbar;&Agrave;í
//
__declspec (naked)
VOID
fake_KiInsertQueueApc (
    PKAPC Apc,
    KPRIORITY Increment
    )
{
 

    // &Egrave;&yen;&micro;&ocirc;DbgPrint,&sup2;&raquo;&Egrave;&raquo;&Otilde;&acirc;&cedil;&ouml;hook&raquo;á&sup2;ú&Eacute;ú&micro;&Yacute;&sup1;é
    //DbgPrint("inline hook --  KiInsertQueueApc &sup3;&Eacute;&sup1;&brvbar;/n");
 
    __asm
    {
               jmp Proxy_KiInsertQueueApc   //&iexcl;&iuml;&Ocirc;&Uacute;&Otilde;&acirc;&Ograve;&raquo;&Iuml;&micro;&Aacute;&ETH;JMP&Ouml;&ETH;&pound;&not;&Atilde;&raquo;&Oacute;&ETH;&Ograve;&raquo;&acute;&brvbar;&Ecirc;&sup1;&Oacute;&Atilde;CALL&pound;&not;&frac14;ò&raquo;&macr;&Aacute;&Euml;&acute;ú&Acirc;&euml;&pound;&not;&Ocirc;&ouml;&Ccedil;&iquest;&Aacute;&Euml;&Icirc;&Egrave;&para;¨&ETH;&Ocirc;
    }
}

//
// &acute;ú&Agrave;í&ordm;&macr;&Ecirc;&yacute;&pound;&not;&cedil;&ordm;&Ocirc;&eth;&Igrave;&oslash;×&ordf;&micro;&frac12;&Ocirc;&shy;&ordm;&macr;&Ecirc;&yacute;&Ouml;&ETH;&frac14;&Igrave;&ETH;&oslash;&Ouml;&acute;&ETH;&ETH;
//
__declspec (naked)
VOID
Proxy_KiInsertQueueApc (
    PKAPC Apc,
    KPRIORITY Increment
    )
{
 
    __asm {  // &sup1;&sup2;×&Ouml;&frac12;&Uacute;
            _emit 0x90
            _emit 0x90
            _emit 0x90
            _emit 0x90
            _emit 0x90  // &Ccedil;°×&Ouml;&frac12;&Uacute;&Ecirc;&micro;&Iuml;&Ouml;&Ocirc;&shy;&ordm;&macr;&Ecirc;&yacute;&micro;&Auml;&Iacute;·×&Ouml;&frac12;&Uacute;&sup1;&brvbar;&Auml;&Uuml;
            _emit 0x90  // &Otilde;&acirc;&cedil;&ouml;&Igrave;&icirc;&sup3;&auml;jmp
            _emit 0x90
            _emit 0x90
            _emit 0x90
            _emit 0x90  // &Otilde;&acirc;×&Ouml;&frac12;&Uacute;±&pound;&acute;&aelig;&Ocirc;&shy;&ordm;&macr;&Ecirc;&yacute;+5&acute;&brvbar;&micro;&Auml;&micro;&Oslash;&Ouml;·
            _emit 0x90 
            _emit 0x90  // &Ograve;ò&Icirc;&ordf;&Ecirc;&Ccedil;&sup3;¤×&ordf;&Ograve;&AElig;,&Euml;ù&Ograve;&Ocirc;±&Oslash;&ETH;&euml;&Ecirc;&Ccedil;0x0080
    }
}

 


ULONG GetFunctionAddr( IN PCWSTR FunctionName)
{
    UNICODE_STRING UniCodeFunctionName;
    RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
    return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );  

}

//&cedil;ù&frac34;&Yacute;&Igrave;&Oslash;&Otilde;÷&Ouml;&micro;&pound;&not;&acute;&Oacute;KeInsertQueueApc&Euml;&Ntilde;&Euml;÷&Ouml;&ETH;&Euml;&Ntilde;&Euml;÷KiInsertQueueApc
ULONG FindKiInsertQueueApcAddress()
{
  char * Addr_KeInsertQueueApc = 0;
  int i = 0;
  char Findcode[] = { 0xE8, 0xcc, 0x29, 0x00, 0x00 };
  ULONG Addr_KiInsertQueueApc = 0;
    Addr_KeInsertQueueApc = (char *) GetFunctionAddr(L"KeInsertQueueApc");
  for(i = 0; i < 100; i ++)
  {
        if( Addr_KeInsertQueueApc[i] == Findcode[0] &&
      Addr_KeInsertQueueApc[i + 1] == Findcode[1] &&
      Addr_KeInsertQueueApc[i + 2] == Findcode[2] &&
      Addr_KeInsertQueueApc[i + 3] == Findcode[3] &&
      Addr_KeInsertQueueApc[i + 4] == Findcode[4]
      )
    {
      Addr_KiInsertQueueApc = (ULONG)&Addr_KeInsertQueueApc[i] + 0x29cc + 5;
      break;
    }
  }
  return Addr_KiInsertQueueApc;
}


VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
  DbgPrint("My Driver Unloaded!");
  UnHookKiInsertQueueApc();
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
{
  DbgPrint("My Driver Loaded!");
  theDriverObject->DriverUnload = OnUnload;
   
  g_KiInsertQueueApc = FindKiInsertQueueApcAddress();
  HookKiInsertQueueApc();

  return STATUS_SUCCESS;
}

xxagri
关注
如何写一个Android inline hook框架
DaoDivDiFang的博客
01-02 1920
Android_Inline_Hook https://github.com/GToad/Android_Inline_Hook_ARM64 有32和64的实现,但是是分离的,要用的话还要自己把两份代码合并在一起。 缺点: 1、不支持函数替换(即hook后不执行原函数),现在只能修改参数寄存器,无法修改返回值。 2、不支持定义同类型的hook函数来接受处理参数,只能通过修改寄存器的方式修改参数。 ...
inline hook的原理及实现
Qiu233的博客
08-06 8487
网上没有找到多少关于inline hook的文章,感觉这方面资料不是很完整,所以决定自己写一份存档,重点讲述inline hook的实现。 inline hook的核心思想是:通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域,执行完毕跳转回到原来的函数,跳转到的指令区域通常是我们自己编写的函数。inline hook技术对于编写外挂和外挂式补丁意义重大。 步骤: 1.使用Vir
一份非常inline hook 代码
04-29 1365
废话不多说,代码如下:#include  #include #include ULONG g_KiInsertQueueApc;ULONG g_uCr0;BYTE g_HookCode[5] = { 0xe9, 0, 0, 0, 0 };BYTE g_OrigCode[5] = { 0 }; // Ô­º¯Êý
Windows内核实验005 Inline Hook
鬼手的博客
11-17 1247
文章目录准备工作寻找Inline Hook的返回地址编写代码动态变化的返回地址JmpTargetAddrInline Hook基本框架示例代码实战HOOK KiTrap01无需计算偏移的Inline Hook方法示例代码 准备工作 寻找Inline Hook的返回地址 假设我们现在要HOOK KiFastCallEntry这个内核函数,让所有的程序在进入零环之前先跳到我们自己的代码。 但是会出现...
关于看雪上那份inline hook代码的小问题
残酷な天使
10-02 1304
代码见后文。 在debug版本中总是出现堆栈平衡检查通不过的情况~~单步跟了一下发现是在detour函数里检查堆栈平衡前没有保存前一栈帧的ESI,导致当前堆栈平衡检查完之后的ESI保存的是当前函数被调用前的ESP,和上一层调用者的ESP不一样,所以__RTC_CheckEsp
Inline Hook
weixin_30535913的博客
02-14 293
@author: dlive IAT Hook时如果要钩取的API不在IAT中(LoadLibrary后调用),则无法使用该技术。而Inline Hook不存在这个限制。 0x01 Inline Hook原理 原理比较简单,将API代码的前5个字节修改为JMP xxxxxx 指令来钩取API。调用执行被钩取的API时,JMP XXXXXX指令被执行,转而跳转至Hook函数。 0x02 相关API ...
实现Android ARM64平台下Inline Hook框架
热门推荐
Rprop
09-23 6万+
Android阵营新出机型的cpu基本都是64位了,虽然可以向下兼容armeabi-v7a,但是使用32位的so毕竟不能充分发挥64位cpu的潜力,所以以后arm64-v8a用的会越来越多。但是整个安卓生态圈似乎还没有开源发布的ARM64内联HOOK方案,所以自己动手写了个,姑且取名And64InlineHook吧,需要注意的是仍然是Alpha版。         关于Inline Hook的背
inline hook
zhuhuibeishadiao
04-10 1897
Inline hook的步骤 1。获得要inline hook的函数在内存中的地址 2。实现T_MyFunc()与MyFunc函数,在该函数中将参数压栈并调用MyFunc函数处理。 3。HOOK。保存函数开头的指令到某个内存中,并在该内存末尾附加JMP指令到开头指令的后面的指令。并将开头的指令替换为JMP T_MyFunc地址。 4。在T_MyFunc执行完MyFunc之后,调用保存的指令
C# inline-hook / api-hook
bruce135lee的专栏
02-13 832
我查阅了一下相关C#方面的资料,却没有发现有提供过关于api-hook方面的资料包括应用库由此本人编写一套inline-hook的库用于支持x64、x86上的基于在clr的公共语言,如: c#、c+/clr、vb.net 全部都可以使用该类库改变底层api执行结果,如我们需要制作抓包工具,或者拦截某个ActiveX对象内部调用的函数 用处广泛 有些人在制作“截包”工具时是通过使用SPI,但也可以通...
详谈内核的Inline Hook实现.rar
06-17
内核的Inline Hook是一种在操作系统内核级别进行代码注入的技术,它允许开发者在不修改原始函数源码...通过阅读"详谈内核的Inline Hook实现.pdf"这份文档,你将能更深入地了解这一主题,包括具体的技术细节和实践案例。
内核三步走实现Inline Hook
06-18
1. 保存原始函数代码:在Hook之前,需要复制目标函数的一份副本,以便在Hook不再需要时恢复。 2. 插入Hook代码:使用汇编指令替换目标函数的开头,插入自定义的Inline Hook。 3. 确保原子性:由于内核代码可能在多...
电动汽车数据集:2025年3K+记录-EV Electrical Vehicles Dataset
08-19
电动汽车数据集:2025年3K+记录 真实电动汽车数据:特斯拉、宝马、日产车型,含2025年电池规格和销售数据 关于数据集 电动汽车数据集 这个合成数据集包含许多品牌和年份的电动汽车和插电式车型的记录,捕捉技术规格、性能、定价、制造来源、销售和安全相关属性。每一行代表由vehicle_ID标识的唯一车辆列表。 关键特性 覆盖范围:全球制造商和车型组合,包括纯电动汽车和插电式混合动力汽车。 范围:电池化学成分、容量、续航里程、充电标准和速度、价格、产地、自主水平、排放、安全等级、销售和保修。 时间跨度:模型跨度多年(包括传统和即将推出的)。 数据质量说明: 某些行可能缺少某些字段(空白)。 几个分类字段包含不同的、特定于供应商的值(例如,Charging_Type、Battery_Type)。 各列中的单位混合在一起;注意kWh、km、hr、USD、g/km和额定值。 列 列类型描述示例 Vehicle_ID整数每个车辆记录的唯一标识符。1 制造商分类汽车品牌或OEM。特斯拉 型号类别特定型号名称/变体。型号Y 与记录关联的年份整数模型。2024 电池_类型分类使用的电池化学/技术。磷酸铁锂 Battery_Capacity_kWh浮充电池标称容量,单位为千瓦时。75.0 Range_km整数表示充满电后的行驶里程(公里)。505 充电类型主要充电接口或功能。CCS、NACS、CHAdeMO、DCFC、V2G、V2H、V2L Charge_Time_hr浮动充电的大致时间(小时),上下文因充电方法而异。7.5 价格_USD浮动参考车辆价格(美元).85000.00 颜色类别主要外观颜色或饰面。午夜黑 制造国_制造类别车辆制造/组装的国家。美国 Autonomous_Level浮点自动化能力级别(例如0-5),可能包括子级别的小
基于单片机的温度监测系统设计(51+1602+18B20+BZ+KEY3) 0448
最新发布
08-19
包括:源程序工程文件、Proteus仿真工程文件、电路原理图文件、配套技术手册、论文资料等 1、采用51单片机作为主控单元芯片; 2、采用DS18B20传感器检测温度; 3、采用LCD1602显示实时温度及报警上下限; 4、温度超限时,蜂鸣器将进行报警; 5、可通过按键设置报警上下限;
关于具有确定性视距路径的RIS辅助MIMO信道的遍历容量.zip
08-19
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
spglib-1.16.1-3.el8.tar.gz
08-19
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
slang-2.3.2-3.el8.tar.gz
08-19
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
Qt 实现 颜色选择器 - 教学案例
08-19
使用 Qt 实现 颜色选择器 - 教学代码案例 ----------------------------------------------- 开发环境:Windows 10 开发工具:Qt5.9.9 编译器:MinGW32 运行环境:Windows10,11 及 ubuntu 18.04
【遥操作控制系统】预定义时间无传感器导纳跟踪控制:实现个性化顺应性能与误差约束的遥操作系统的建模与仿真(含详细代码及解释)
08-19
内容概要:本文详细介绍了IEEE论文《Predefined-Time Sensorless Admittance Tracking Control for Teleoperation Systems With Error Constraint and Personalized Compliant Performance》的复现与分析。论文提出了一种预定义时间的无传感器导纳跟踪控制方案,适用于存在模型不确定性的遥操作系统。该方案通过具有可调刚度参数的导纳结构和预定义时间观测器(PTO),结合非奇异预定义时间终端滑模流形和预定义时间性能函数,实现了快速准确的导纳轨迹跟踪,并确保误差约束。文中详细展示了系统参数定义、EMG信号处理、预定义时间观测器、预定义时间控制器、可调刚度导纳模型及主仿真系统的代码实现。此外,还增加了动态刚度调节器、改进的广义动量观测器和安全约束模块,以增强系统的鲁性和安全性。 适合人群:具备一定自动化控制理论基础和编程能力的研究人员、工程师,尤其是从事机器人遥操作、人机交互等领域工作的专业人士。 使用场景及目标:①理解预定义时间控制理论及其在遥操作系统中的应用;②掌握无传感器力观测技术,减少系统复杂度;③学习如何利用肌电信号实现个性化顺应性能调整;④探索如何在保证误差约束的前提下提高系统的响应速度和精度。 阅读建议:本文内容涉及较多的数学推导和技术细节,建议读者先熟悉基本的控制理论和Python编程,重点理解各个模块的功能和相互关系。同时,可以通过运行提供的代码示例,加深对理论概念的理解,并根据自身需求调整参数进行实验验证。
基于Spring Boot网络相册设计与实现-f41xq【附万字论文+PPT+包部署+录制讲解视频】.zip
08-19
基于Spring Boot网络相册设计与实现-f41xq【附万字论文+PPT+包部署+录制讲解视频】.zip
VC6.0开发的Inline Hook技术教程
资源摘要信息:"InLineHook.zip_钩子与API截获_Visual_C++_" 1. 钩子(Hook)技术: 在计算机科学中,钩子是一种用于拦截软件组件之间传输的系统消息或数据流的程序机制。它允许开发者在消息到达目标程序之前进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值