Hook 初学习
Hook
概念
每个Hook都有一个相关的指针列表,后加入的Hook再链表的开始,先加入的在链表的尾部
即后加入先获得控制权
Hook 原理
原本的流程
id1(MessageBoxA)--<br>原本的进程-->id2(MessageBoxB);
id2(MessageBoxB)-->id1(MessageBoxA)
hook后的流程
id1(MessageBoxA)--<br>step1:Hook-->id2(My_MessageBox);
id2--<br>2step:return-->id1;
id1--<br>step3-->id4(MessageBoxB)
id4--<br>step4-->id2
id2--<br>step5-->id1
就是在执行MessageBoxA的API
时,先jmp
到我的My_MessageBox
,执行完之后再return
回到MessageBoxA
继续执行
利用这个技术,我们可以监控API,比如应用程序会调用loadLibrary,那我们把它Hook了,把Dll路径改成我们的,那加载的就是我们的dll了,当然 Hook的API很多,因为只要是Windows的API都能HOOK
Hook的思路
- 获取
MessageBoxA
函数的地址 - 修改函数的内存保护属性(便于写入
jmp
的二进制) - 找到
MessageBoxA
前的5个字节的位置,写入jmp
Hook实例
手动尝试hook一个程序
源码
编译环境:win10 1909+gcc
#include <windows.h>
int main (){
int a,b;
a=3;
b=2;
int c=a+b;
char tmp[8];
memset(tmp,0,8);
itoa(5,tmp,10);
MessageBox(NULL,tmp,"Hook",0);
return 0;
}
正常情况会弹出一个弹窗,标题栏写着Hook,下面写着5
我们尝试用hook把5改成0
Step1:
ida打开a.exe,找到主函数部分,可以看到代码的大概位置
.text:00401410 ; __unwind {
.text:00401410 lea ecx, [esp+4]
.text:00401414 and esp, 0FFFFFFF0h
.text:00401417 push dword ptr [ecx-4]
.text:0040141A push ebp
.text:0040141B mov ebp, esp
.text:0040141D push ecx
.text:0040141E sub esp, 34h
.text:00401421 call ___main
.text:00401426 mov [ebp+var_C], 3
.text:0040142D mov [ebp+var_10], 2
.text:00401434 mov edx, [ebp+var_C]
.text:00401437 mov eax, [ebp+var_10]
.text:0040143A add eax, edx
.text:0040143C mov [ebp+var_14], eax
.text:0040143F mov dword ptr [esp+8], 8 ; size_t
.text:00401447 mov dword ptr [esp+4], 0 ; int
.text:0040144F lea eax, [ebp+Text]
.text:00401452 mov [esp], eax ; void *
.text:00401455 call _memset
.text:0040145A mov dword ptr [esp+8], 0Ah ; int
.text:00401462 lea eax, [ebp+Text]
.text:00401465 mov [esp+4], eax ; char *
.text:00401469 mov eax, [ebp+var_14]
.text:0040146C mov [esp], eax ; int
.text:0040146F call _itoa
.text:00401474 mov dword ptr [esp+0Ch], 0 ; uType
.text:0040147C mov dword ptr [esp+8], offset Caption ; "Hook"
.text:00401484 lea eax, [ebp+Text]
.text:00401487 mov [esp+4], eax ; lpText
.text:0040148B mov dword ptr [esp], 0 ; hWnd
.text:00401492 call _MessageBoxA@16
.text:00401497 sub esp, 10h
.text:0040149A mov eax, 0
.text:0040149F mov ecx, [ebp+var_4]
.text:004014A2 leave
.text:004014A3 lea esp, [ecx-4]
.text:004014A6 retn
.text:004014A6 ; } // starts at 401410
.text:004014A6 _main endp
正常来说,我们可以用patch来改,这里尝试hook的方式
在赋值3,2
完成之后,写入jmp指令,随便jmp到一块不影响程序,且在程序中的地址上(不一定要紧跟在jmp后面,只要在调用MessageBox
函数之前随便的五个字节,要是没有刚好5个字节的指令,可以凑到至少5个,多的就nop
掉),jmp指令破坏掉的指令要在jmp到的我的hook中修复,这样才能不影响程序原本的运行
Step2:
od定位到相应位置,双击指令,开始修改(也可以在ida中patch修改)eb
我选对程序无影响的地址401305
这块地址
我选择在add eax, edx
后插入jmp 00401305
,因为这条汇编是5个字节,会覆盖掉两条汇编指令,变成了
所以在我的hook,也就是00401305处我要补上
解释一下
mov eax,0x0 ;jmp 来之前eax中的值是5,给覆盖成0
mov dword ptr ss:[ebp-0x14],eax ;这是照着原来的写法,把jmp时覆盖的指令补上
mov dword ptr ss:[esp+0x8],0x8 ;同上
jmp a.00401447 ;这是跳回原来的地方继续执行
step3
保存:右键-->复制到课自行文件-->全部修改
如果发现报错,可执行文件中无法确定数据。首先不管报错,直接保存文件,看看是否可运行,不行考虑换个离源代码位置近的地方去添加跳转代码,再不行就考虑增加区块
Hook实例2
具体参考
HOOK API入门之Hook自己程序的MessageBoxW
原理
windows 系统函数都是以dll封装起来的,程序应用到系统函数的时候,要先将dll加载到进程空间。我们只要在我们要hook程序调用dll之前,jmp
到我们自己构造的dll中,就可以达到效果
几个要点:
怎么让被hook的程序加载我们的dll
采用上面文章讲到的方法,调用windows现成的鼠标钩子,响应到所有鼠标点击事件,然后载入我的dll。鼠标钩子只是用来载入我的dll到被hook的程序,做事的还是我的dll
怎么加载完成后修复原来被我们的部分
这个方法有很多,可以在我的dll中去修复,先记录下原来的数据,在执行完我们dll的主要内容后再把数据恢复,跳转回去的时候就不会再执行jmp到我们dll了。也可以像上一个实例一样,直接在我定义的dll执行,在调会主函数,再执行进入下个dll
怎么在加载正常dll前获取地址
可以调用GetProcAddress函数,来获取dll的入口地址
操作……还没操作,之后再补
Hook 初学习的更多相关文章
- clisp, scheme 和 clojure 初学习
clisp, scheme和clojure 初学习 1 clojure "clojure绝对会成为你的编程工具箱里的终极武器" "其他语言可能只是工具,但 Clojure ...
- Android so注入(inject)和Hook技术学习(三)——Got表hook之导出表hook
前文介绍了导入表hook,现在来说下导出表的hook.导出表的hook的流程如下.1.获取动态库基值 void* get_module_base(pid_t pid, const char* modu ...
- c# window服务-初学习
window服务-初学习 一.工具: VS2015+NET Framework4.5. 二.操作: 1.新建windows服务的项目: 2.修改windows服务相关内容: 3.预览windows服务 ...
- Python初学习:简单的练习题
Python初学习 一些见到那的练习题: 初级难度 设计一重量转换器,输入以g为单位的数字后,返回换算结果以Kg为单位的结果 中级难度 设计一个求直角三角形斜边长的函数,(以两个直角边为参数,求最长边 ...
- Swift初学习
距离swift发布10天了,也简单看了一下swift的语法,个人感觉相对于object-c很是简单明了.Swift的出现并不能说明iOS开发简单了很多,有可能会变得复杂,你需要学习两门编程语言,因为在 ...
- Jquery 插件初学习
参考文章:插件开发精品教程,让你的jQuery提升一个台阶 刚刚学了一下jquery的插件插件开发,写个demo记录.练习一下.毕竟,输出才是最好的学习. 这个也不过是最基础的一个插件写法,只是,自己 ...
- requests库写接口测试框架初学习
学习网址: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dscpm/ff75b907-415d-4220-89 ...
- 2018.2.21 Python 初学习
折腾了一天,一直在用CMD学习Python写Hello World.偶然间发现可以用Pycharm.也算是给后面想学习的人提个醒,方便省事许多. format()使用方法. age = 20name ...
- Android so注入(inject)和Hook技术学习(二)——Got表hook之导入表hook
全局符号表(GOT表)hook实际是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数. GOT表其实包含了 ...
随机推荐
- SpringBoot缓存篇Ⅱ --- 整合Redis以及序列化机制
一.Redis环境搭建 系统默认是使用ConcurrentMapCacheManager,然后获取和创建ConcurrentMapCache类型的缓存组件,再将数据保存在ConcurrentMap中 ...
- Tomcat项目启动常见错误以及原因,持续更新.........
一 Context initialization failed 错误截图: 原因: jdk版本与项目不对应,可重新设置项目jdk和ide编译的jdk即可
- ActiveMQ 快速入门教程系列 第二章 发布-订阅者模式实现
第二章我们会介绍怎样实现一个发布者对多个订阅者的消息传递 Topic和queue的最大区别在于topic是以广播的形式,通知所有在线监听的客户端有新的消息,没有监听的客户端将收不到消息:而queue则 ...
- virtualbox更新完无法启动的问题(不能为虚拟电脑 Ubuntu 打开一个新任务)
具体错误: 不能为虚拟电脑 Ubuntu 打开一个新任务. VT-x is disabled in the BIOS. (VERR_VMX_MSR_VMXON_DISABLED). 返回 代码: E_ ...
- [terminal]终端仿真程序
char * szCommAry[COMM_NUM]={ //屏幕属性命令,23 "\x1b[12h",//禁止本端回显,键盘数据仅送给主机 "\x1b[12l" ...
- 视觉光盘,只有我可以贴全世界唯一,Windows上最高级的DOCKER客户端数字, 夜晚点击一个都没有,值班的小编辛苦了
继上一篇视觉光盘,只有我可以贴全世界唯一,你永远截不到的图片(小编请用人性化语言解释移出首页) 合体了 晚上的小编, 呆了吗? 我看到了少于150字的随笔不允许发布到网站首页 我决定了用我专业的龟式输 ...
- VFP检测SQL Server的五个实例代码
** 需要指出的是,无论下面哪种方式的代码,都需要打开本机的网络共享,否则找不到SQL服务器** 例一 ************************************************ ...
- ASP.NET Core 借助 Helm 部署应用至K8S
前言 玩K8S也有一段时间了,借助云服务提供商的K8S控制台,已经可以很方便的快速部署应用至K8S.通过简单的点击,可以一次性帮忙创建K8S 对象:Deployment.Service.Ingress ...
- Vue路由(vue-router)
一.介绍 1.vue-router安装 官方文档:https://router.vuejs.org/zh/installation.html下载地址:https://unpkg.com/vue-rou ...
- 自己用C语言写RH850 F1L serial bootloader
了解更多关于bootloader 的C语言实现,请加我QQ: 1273623966 (验证信息请填 bootloader),欢迎咨询或定制bootloader(在线升级程序). 由于有了RH850 F ...