Release下IATHOOK失败的原因

最新推荐文章于 2024-12-30 09:32:03 发布
最新推荐文章于 2024-12-30 09:32:03 发布
阅读量807 收藏
点赞数
分类专栏: Win32

书上的一个例子,源码如下


// 09HookDemo.cpp文件



#include <windows.h>
#include <stdio.h>

// 挂钩指定模块hMod对MessageBoxA的调用
BOOL SetHook(HMODULE hMod);
// 定义MessageBoxA函数原型
typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);
// 保存MessageBoxA函数的真实地址
PROC g_orgProc = (PROC)MessageBoxA;

int main()
{
	// 调用原API函数
	::MessageBox(NULL, "原函数", "09HookDemo", 0);
	// 挂钩后再调用
	SetHook(::GetModuleHandle(NULL));
	::MessageBox(NULL, "原函数", "09HookDemo", 0);
        return 0;
}

// 用于替换MessageBoxA的自定义函数
int WINAPI MyMessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
	return ((PFNMESSAGEBOX)g_orgProc)(hWnd, "新函数", "09HookDemo", uType);
}

BOOL SetHook(HMODULE hMod)
{
	IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hMod;
	IMAGE_OPTIONAL_HEADER * pOptHeader =
		(IMAGE_OPTIONAL_HEADER *)((BYTE*)hMod + pDosHeader->e_lfanew + 24);
	
	IMAGE_IMPORT_DESCRIPTOR* pImportDesc = (IMAGE_IMPORT_DESCRIPTOR*)
		((BYTE*)hMod + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
	
	// 在导入表中查找user32.dll模块。因为MessageBoxA函数从user32.dll模块导出
	while(pImportDesc->FirstThunk)
	{
		char* pszDllName = (char*)((BYTE*)hMod + pImportDesc->Name);
		if(lstrcmpiA(pszDllName, "user32.dll") == 0)
		{
			break;
		}
		pImportDesc++;
	}

	if(pImportDesc->FirstThunk)
	{
		
		// 一个IMAGE_THUNK_DATA就是一个双字,它指定了一个导入函数
		// 调入地址表其实是IMAGE_THUNK_DATA结构的数组,也就是DWORD数组
		IMAGE_THUNK_DATA* pThunk = (IMAGE_THUNK_DATA*)
				((BYTE*)hMod + pImportDesc->FirstThunk);
		while(pThunk->u1.Function)
		{
			// lpAddr指向的内存保存了函数的地址
			DWORD* lpAddr = (DWORD*)&(pThunk->u1.Function);
			if(*lpAddr == (DWORD)g_orgProc)
			{	
				// 修改IAT表项,使其指向我们自定义的函数,相当于“*lpAddr = (DWORD)MyMessageBoxA;”
				DWORD* lpNewProc = (DWORD*)MyMessageBoxA;
				::WriteProcessMemory(::GetCurrentProcess(), 
						lpAddr, &lpNewProc, sizeof(DWORD), NULL);
				return TRUE;
			}
			
			pThunk++;
		}
	}
	return FALSE;
}

这个源码在Debug模式下可以成功,但是Release下就会失败,但是IAT也修改了~原因如下:

至于为何WriteProcessMemory成功了却没有勾住,我猜你的代码是这样的

MessageBox(....);
HookIAT(...);
MessageBox(....);

然后发现第二次调用MessageBox未受影响,这是因为release下编译器有优化
它发现你要调用两次MessageBox,因此在调用第一次MessageBox前把MessageBox的地址从IAT中读取到一个稳定寄存器中,一般是esi,因为调用约定是esi等在函数调用前后不变
你的HookIAT函数修改的仅仅是IAT中的地址,然而第二次MessageBox调用是call esi,不从IAT中读取了,因此这次调用不受影响



第二个VirtualProtect会失败,内存分配失败指的是lpflOldProtect为NULL
lpflOldProtect  
[out] Pointer to a variable that receives the previous access protection value of the first page in the specified region of pages. If this parameter is NULL or does not point to a valid variable, the function fails.  

函数没替换成功,找个调试器,在WriteProcessMemory后边写个int 3,然后一步步跟这看看..

贴完整代码上来~

程序代码是不可写的,DEBUG版可能采取了特殊措施,把代码拷贝了出来执行的。要修改代码段,用VirtualProtect赋与PAGE_WRITECOPY权限

如果你的代码安排是我所说的,换成
HookIAT(...);
MessageBox(....);
就应该有效

如果 debug 版本正确,把这段代码的编译全局优化关掉试一试

#pragma optimize("g", off)
...// 你的代码
#pragma optimize("", on)


HOOK与注入
逆向学习
09-20 399
HOOK与注入 远程线程DLL注入 /************************************************* 函数名称: InjectDll 函数功能: 远程线程注入 参数: 1.pDllPath --dll全路径 2.nPid --进程pid 函数返回值: 是否成功执行远程线程注入。 其它说明: 无 **********************...
游戏修改器制作教程八:D3D函数hook
热门推荐
El Psy Congroo
10-06 1万+
本章介绍怎么hook D3D函数,实现在游戏画面中显示自己的文字
全局Hook失败.......
04-01
窗口失去焦点时, 钩子钩不到消息, 哪位大侠帮忙看看,给小弟指点迷津~谢谢!
关于应用程序加壳后,IAT钩子失效问题的破解
i华仔的专栏
01-22 1371
IAT钩子主要使用的IAT表进行API HOOK 加壳会使原有的导入表被加密,导致无法直接通过修改导入表来Hook API,如下图, 使用UPX加壳后,计事本程序,的很多项导入表不见了. 此类软件加壳后将导至IAT钩子失效,导致无法完成相应的API HOOK 解决方法一, 强行搜索进行空间,进行比对,发现是自己所要钩取的API地址进行替换(稳定性极差) 解决方法二 , 看官
vc6 chkesp IATHook 出错解决
深度技术安全
11-30 1559
这几天写了个ring 3的IAT HOOK, 这个hook比起大多数hook的优点: 1、IAT中的跳转块地址来源于代码节的空隙 2、空隙的地址随机化 但是,在测试的时候,老是遇到进入_chkesp函数的时候会出错,后来,发现是编译器/GZ的作用,在vc6中,只需要把/GZ关闭掉就可以解决这个问题。 注意如果是一个exe和一个dll配合使用,两个都必须去掉
关于Windows设置HOOK钩子失败返回空的问题
qq_46215039的博客
04-01 457
这时又有一个错误,就是使用时找不到DLL中的钩子函数,用VS的工具看了一下DLL文件,发现函数名变成了。对于鼠标和键盘的钩子而言,这是可以的,但是对于其他的一些钩子是不行的,会有意想不到的错误。应该是CALLBACK惹的祸,只需要调用时改正名称就行了。然后我自己新建DLL,把钩子函数放了进去。
Hook IAT的时候解决缺点办法
vincent_1011的专栏
02-09 1178
笔记下,有空就验证下。 Hook IAT的时候有局限性局限性:1当程序运用一种叫late-demand binding技术,函数被调用时才定位地址,这样以来就不能IAT中定位目标函数地址了.2当目标程序用动态加载(LoadLibrary)时,这种方法也将失效. 我想我可以一开始就HOOk一个程序一启动就绝对会调用的函数,然后在我的函数中调用我真正要Hook的函数不就可以解决局
Windows Hook经验总结之一:API Hook方法汇总
ITer之家
11-17 5411
HOOK的目的是用我们自己的代码取代一些函数的代码以改变程序的行为。 静态HOOK:在进程运行前挂钩,采用用户级进程即可完成。比如:有些程序会在启动时需要原光盘,如果我们修改获取驱动类型的函数则可以从硬盘启动。 动态HOOK:挂钩系统进程(如服务)时要动态挂钩 本文介绍常见的hook方法和实现机制。
开发知识点-C++之win32与NT内核
aming小老弟
03-07 769
VC++远控编程班www.zygx8.com 61201860605658096586599275746120931930648561639269 123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com免费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。
《Windows核心编程》读书笔记二十二章 DLL注入和API拦截
sesiria的博客
12-18 2559
第22章  DLL注入和API拦截 本章内容 22.1 DLL注入的一个例子 22.2 使用注册表来注入DLL 22.3 使用Windows挂钩来注入DLL 22.4 使用远程线程来注入DLL 22.5 使用木马DLL来注入DLL 22.6 把DLL作为调试器来注入 22.7 使用CreateProcess来注入代码 22.8 API拦截的例子 通常在操作系统中
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
hook NSArray 方法在debug模式下会崩溃, 在release模式下会返回nil
weixin_34117211的博客
12-13 230
配合hook的使用 防崩溃 -(id)hook_objectAtIndex:(NSUInteger)index{if(index&lt;self.count){return[selfhook_objectAtIndex:index];}else{#ifdefDEBUGAC_Assert(NO);NSAssert2(...
IAT Hook
Tandy12356_的博客
05-26 2271
本文介绍了如何使用IAT HOOK技术来实现反向支持giegie的目的。
IAT Hook 的原理与实现
最新发布
lydstory123的专栏
12-30 379
IAT(Import Address Table,导入地址表)Hook 是一种常见的函数拦截技术,主要用于在 Windows 应用程序中拦截对特定 API 函数的调用。它通过修改目标程序的导入地址表,实现函数调用的劫持。
IATHOOK
m0_73193124的博客
12-03 1214
每个动态链接库对应一个导入描述符,描述了从该库导入的函数。包含一个。
4.3 IAT Hook 挂钩技术
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 932
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
IAT HOOK
hambaga的博客
08-13 596
IAT HOOK是指修改IAT中函数地址的值,使它指向我们自己实现的函数,在我们的函数内部调用原函数的技术。 下面演示对MessageBoxA设置IAT HOOK运行效果如图: 这里演示了对MessageBoxA的修改,除了改变函数行为,我们还可以监视函数的参数和返回值,此处就不演示了,下面是代码。 // IATHook.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值