Inline Hook

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量1.3k 收藏
点赞数
分类专栏: Windows编程
一、 什么是 inline hook
inline hook 就是在运行的流程中插入跳转指令(call/jmp)来抢夺程序运行流程的一个方法。
好了那么问题就来了:
1. 插入怎么样的跳转指令
    一般为 相对JMP(0xE9) + 4字节地址,方便计算 
    公式:源地址 + 相对偏移 = 目的地址
    公式:目的地址 - 源地址 = 相对偏移
2. 被跳转指令覆盖的原始指令应该被保存起来,找适当的时机再执行
3. 需要对应的 jmpIn 和 jmpOut 跳转。
4. inline hook 的一般流程:

源程序流 -> jmpIn -> 保存寄存器 -> 具体处理 -> 恢复寄存器 -> jmpOut -> 源程序流被跳转指令覆盖的代码可以在 jmpIn之后 或者 jmpOut之前


二、 被 inline hook 的位置
1. 指令或者指令之和大于等于5,因为我们要塞进去5个字节(0xE9 + Address)。只要你处理跳转指令覆盖的指令,理论上可以 inline hook 函数中的任意位置。
2. 判断被 inline hook 位置的指令可以使用反汇编引擎判断指令长度。
3. 很多系统调用的开头都是,能很方便的 inline hook
代码: 
mov    edi, edi
push    ebp
mov    ebp, esp

三、 可以写 hookProxy 函数,保存和恢复寄存器,统一调用逻辑。

完整代码逻辑:

//.H
#pragma once
__declspec(naked) int Add(int a, int b)
{
	_asm
	{
		mov edi, edi
		push ebp
		mov ebp, esp

		sub esp, 8
		mov eax, [ebp+0x08]
		mov [ebp-0x08], eax
		mov eax, [ebp+0xc]
		mov [ebp-0x04], eax

		mov eax, [ebp-0x08]
		add eax, [ebp-0x04]

		mov esp, ebp
		pop ebp

		ret
	}
}

__declspec(naked) void HookProxy()
{
	// moved bytes
	_asm
	{
		nop
		nop
		nop
		nop
		nop
	}

	// save registers
	//_asm
	//{
	//	pushad
	//	pushfd
	//}

	__asm
	{
		add [esp+0x08], 1
		add [esp+0x0c], 1
	}

	// restore registers
	//_asm
	//{
	//	popad
	//	popfd
	//}

	// use to jump source func back code
	_asm
	{
		nop
		nop
		nop
		nop
		nop
	}
}

void InlineHook()
{
	// move old bytes
	memcpy((BYTE*)HookProxy, (BYTE*)Add, 5);

	// rewrite Add the first of 5 bytes to jmp xxxx
	BYTE jmpInBuffer[5];
	jmpInBuffer[0] = 0xe9;

	DWORD* pJmpInOffset = (DWORD*)&jmpInBuffer[1];
	*pJmpInOffset = (DWORD)HookProxy - ((DWORD)Add + 5);

	memcpy(Add, jmpInBuffer, 5);

	// rewrite HookProc the end 0f 5 bytes to jmp xxxx
	BYTE jmpOutBuffer[5];

	jmpOutBuffer[0] = 0xe9;

	DWORD* pJmpOutOffset = (DWORD*)&jmpOutBuffer[1];
	BYTE* pJmpBackCode = &((BYTE*)HookProxy)[0xF]; // the pos that the end of 5 bytes
	*pJmpOutOffset = ((DWORD)Add + 5) - ((DWORD)pJmpBackCode + 5);

	memcpy(pJmpBackCode, jmpOutBuffer, 5);
}

void UnInlineHook()
{
	// write back Add the first of 5 bytes
	BYTE restoreBuffer[5] = { 0 };
	memcpy(restoreBuffer, HookProxy, 5);
	memcpy(Add, restoreBuffer, 5);
}

//.CPP
DWORD dwNewProtect = PAGE_EXECUTE_READWRITE;
	DWORD oldProtect1;
	DWORD oldProtect2;

	VirtualProtect((LPVOID)Add, 4096, dwNewProtect, &oldProtect1);
	VirtualProtect((LPVOID)HookProxy, 4096, dwNewProtect, &oldProtect2);

	InlineHook();
	printf("After Hook Result = %d \n", Add(1, 2));

	UnInlineHook();
	printf("After UnHook Result = %d \n", Add(1, 2));

	VirtualProtect((LPVOID)Add, 4096, oldProtect1, &dwNewProtect);
	VirtualProtect((LPVOID)HookProxy, 4096, oldProtect2, &dwNewProtect);
四、解析例子
1. 把Add函数的前5个字节搬到了 hookProxy的前5个字节。
2. 然后再 Add函数的前5个字节填充跳转到 hookProxy 的跳转指令
3. 在hookProxy的末尾5个字节填充跳转回 Add函数 + 5 的跳转指令
4. 原本 Add 函数的结构是3,被 hook 之后会变成 5

栗子2:

//.H
#pragma pack(1)
typedef struct _JMPCODE
{
	BYTE jmp;
	DWORD addr;
}JMPCODE, *PJMPCODE;

typedef int (WINAPI *MessageBox_type) (
		__in_opt HWND hWnd,
		__in_opt LPCSTR lpText,
		__in_opt LPCSTR lpCaption,
		__in UINT uType);

MessageBox_type RealMessageBox = NULL;

_declspec(naked) int WINAPI MyMessageBox(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
	_asm
	{
		push ebp
		mov ebp, esp
	}

	printf("hwnd:%p lpText:%s lpCaption:%s,uType:%X\n", hWnd, lpText, lpCaption, uType);

	_asm
	{
		mov ebx, RealMessageBox
		add ebx, 5
		jmp ebx
	}
}

void HookMessageBox()
{
	RealMessageBox = MessageBoxA;

	JMPCODE jumpCode;
	jumpCode.jmp = 0xe9;
	jumpCode.addr = (DWORD)MyMessageBox - ((DWORD)RealMessageBox + 5);

	DWORD dwNewProtect = PAGE_EXECUTE_READWRITE;
	MEMORY_BASIC_INFORMATION mbi;
	VirtualQuery(MessageBoxA, &mbi, sizeof(MEMORY_BASIC_INFORMATION));
	
	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, PAGE_EXECUTE_READWRITE, &mbi.Protect);
	WriteProcessMemory(GetCurrentProcess(), MessageBoxA, &jumpCode, sizeof(jumpCode), NULL);
	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwNewProtect);
}

void UnHookMessageBox()
{
	// 也可以在Hook的时候保存MessageboxA的前5个字节
	BYTE backCode[5] = { 0 };
	backCode[0] = 0x8B;   // mov edi, edi
	backCode[1] = 0xFF;
	backCode[2] = 0x55;   // push ebp
	backCode[3] = 0x8B;   // mov ebp, esp
	backCode[4] = 0xEC;

	DWORD dwNewProtect = PAGE_EXECUTE_READWRITE;
	MEMORY_BASIC_INFORMATION mbi;
	VirtualQuery(MessageBoxA, &mbi, sizeof(MEMORY_BASIC_INFORMATION));

	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, PAGE_EXECUTE_READWRITE, &mbi.Protect);
	WriteProcessMemory(GetCurrentProcess(), MessageBoxA, backCode, sizeof(backCode) / sizeof(backCode[0]), NULL);
	VirtualProtect(mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwNewProtect);
}

//.CPP
HookMessageBox();
	::MessageBoxA(NULL, "HELLO", "WORLD", MB_OK);

	UnHookMessageBox();
	::MessageBoxA(NULL, "HELLO2", "WORLD2", MB_OK);
执行步骤:

1.把MessageBoxA的前5个字节改写为:jmp xxx(地址是MyMessageBoxA),跳转的指令格式:jmp 相对地址

2.在MessageBoxA中,重新执行原来的汇编指令:(mov edi, edi可忽略)

push ebp
mov ebp, esp

然后执行自己的逻辑

最后再跳转到MessageBoxA中第5个字节的位置继续执行,这里的跳转的指令格式:jmp 16位寄存器

参考:

http://bbs.pediy.com/showthread.php?p=1337589

使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
InlineHook是什么?
倒计时
12-26 4332
简单来说,就是修改函数体实现部分。 但是如何来修改,这样修改的意义又是什么? 我今天一直在寻找一个比较好的方式来说明白如何进行InlineHook,画了几次图,试了好几个工具,最后完成了一个流程,希望大家能看明白。 图片: 说明: 左上的图片 这个结构是我们在代码中写入的一个函数 代码如下: __declspec(naked) NTSTATUS NtQueryD
Inline_Hook
kernweak的博客
09-03 520
Inline Hook jmp 到没用的地方 pushad,pushfd, 做自己的事 popfd,popad. 加上被覆盖的代码 jmp 到被覆盖代码的下一行 注意点 位置的选择: <1> JMP/CALL指令至少占用5个字节 <2> 绕开全局变量,因为全局变量的硬编码会随着指令变 <3> 根据业务来决定在哪里HOOK:过滤参数...
inline hook简介
xiaoqiangvs007的专栏
04-22 1337
inline hook简介 2011-07-24 19:49 1、简介          INLINE HOOK原理:         Inline Hook通过硬编码的方式向内核API的内存空间(通常是开始的一段字节,且一般在第一个call之前,这么做是为了防止堆栈混乱)写入跳转语句,这样,该API只要被调用,程序就会跳转到我们的函数中来,我们在自己写的函数里需要
inline Hook简单介绍
cwg2552298的博客
09-24 6773
What is Inline Hook ? 就是一个函数钩子而已,把程序原本要调用的函数改成另一个函数,就是对原函数的一个挂钩(hook) 。   How did this work ? 让我们看看调用一个函数控制流的跳转图: fun_b 调用 fun_a   如果我们需要修改、截获对fun_a 函数调用的参数该怎么做呢? Definitely 对 fun_a 的调用进行Hoo...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
And64InlineHook:适用于Android CC ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库
04-30
And64InlineHook是一个专为Android平台设计的轻量级库,主要针对C/C++开发者,用于实现ARMv8-A架构(ARM64或AArch64,Little-Endian字节序)的内联挂钩功能。这个库允许开发人员在运行时修改已编译的二进制代码的...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
精选_实现32位和64位系统的Inline Hook API_源码打包
03-09
Inline Hook API 是一种在软件开发中用于拦截和修改程序行为的技术。它主要通过在目标函数的入口处插入自定义代码(通常称为钩子)来实现。这种方法允许开发者在不修改原始函数代码的情况下,动态地改变函数的行为。...
inline hook
07-30
Hook库,我写的,欢迎大家下载使用,方便好用。
HOOK技术之InLineHOOK源代码
09-02
InLineHOOK技术,通过读写进程内存的技术实现在指令层面上的HOOK技术,比较常用的HOOK技术。
inline hook
125096
04-22 500
#include #include #include #include "ldasm.h" #ifdef _WIN64 #define HOOKLEN 15 #define ProxyJmpCodeLength 15 #else #define HOOKLEN 5 #define ProxyJmpCodeLength 7 //siz
Hook攻防之InlineHook
最新发布
xf555er的博客
06-16 2361
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
inlineHOOK 函数
u011569253的博客
05-17 1408
最近在研究如何hook自己的函数。现在我们来讲一下hook函数的过程,首先要hook自己函数要找到自己函数的地址,之后找到不少于5个字节的硬编码地址替换成E9(JMP)跳转到我们制定的函数地址。我们制定的函数设置成裸函数,我们要保持进入我们定制函数前和后的寄存器和标志寄存器值不变和堆栈的平衡。同时我们要在函数里实现我们替换的代码。这样才能保持程序的正常执行。下面不多说了上代码讲解。int CInj...
应用层勾子InLine HOOK
crkres9527
09-28 635
 A、InLine HOOK 原理分析  B、InLine HOOK 代码编写  C、InLine HOOK 代码测试 在 021_绕过驱动保护 已经讲过一次 in line hook _declspec(naked) #pragma pack(1)  //前5字节 77D507EA >    8BFF          MOV EDI,EDI 77D507EC  /. ...
inline hook的实现
威化饼的一隅
05-07 1191
思路   对于目标运行中的EXE程序,如notepad.exe,使用inline hook劫持其kernel32.dll中的writefile函数: 找到notepad.exe的进程PID,通过进程PID获取进程模块,通过进程模块获取程序加载的imagebase。 在获得imagebase后,就可以像类似分析PE文件一样,先找PE头,然后到可选头,里面读取data directory的第2个成员...
[翻译]理解/检测 Inline Hooks/ WinAPI Hooks (Ring3)
云守护的专栏
12-14 684
转自:https://bbs.pediy.com/thread-223317.htm 你有没有想过,恶意软件是如何从web浏览器中获取口令密码凭证的呢?最流行的攻击方法是Man-in-The-Browser (MiTB),这也是大家所说的内联挂钩(inline hooking或者detours)。内联钩子技术在恶意软件中非常常见而且难以置信的好用。有了内联钩子技术后,恶意软件就成为了进程
InLine Hook技术源码深入解析
根据提供的文件信息,我们需要讨论的主题是“Inline Hook”技术,这是在软件逆向工程和安全领域中常见的一种技术手段。Inline Hook技术通常用于在不修改原有二进制文件的情况下,插入代码以修改程序的行为,或者监控...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值