API钩取技术
来源:互联网 发布:会计电算化实务软件 编辑:程序博客网 时间:2024/06/12 01:34
DLL注入说完了下一章介绍了API钩取技术,这个技术运用范围更加广泛基本木马病毒都会用到这个。整理下这3天看的api hook相关方式。
1.调试器法:使用DebugActiveProcess函数以调试模式附加到相关进程,获取进程控制权。等待调试者发生时间,并在发生相关函数调用事件时调用处理函数。给api开始地址写上0xcc(int 3)断点,断下之后获取进程上下文,获取寄存器的值,在内存中跟随到寄存器的值(地址),修改相应的数值即可完成api hook(修改参数数值) p300
2.iAT HOOK:dll注入实现api修改,注入dll后获取dll中的你想注入的函数地址,函数调用GetModuleHandle(NULL)这个函数是再注入的dll内部运行的,但是获取的却是exe主程序的地址,这是关键。获取到exe程序地址后通过nt头找pe头,在通过pe头+0x80的长度找到输入表的开始地址,然后通过对各个函数结构体的遍历找到你想要注入的函数地址,修改它为你定义的api的地址。
3.5字节inline hook:call函数地址a,然后保存a的前5个内存数值,再修改为far jmp xxxxx跳转到我们写的api函数地址处调用,进入之后先还原5个数值防止死循环。这里的一个要注意的地方是jmp 跳转的不是绝对地址,而是你的函数地址和jmp指令之间的大小(不包括jmp的5个单位)。
7字节inline hook:第一句近跳到上面5个nop处,这5个nop处写入far jmp,然后short jmp占用2个单位,如果正好函数第一句正好是2个无意义的且上面有5个nop空间可以用既可使用这种方法,有点事不需要反复挂脱钩。
- API钩取技术
- 《逆向工程核心原理》<04-30> 通过Debug修改代码实现API钩取的技术
- 《逆向工程核心原理》<04-33> 通过DLL注入修改API代码实现API钩取的技术
- API钩挂技术
- Api编程 Api取COOKIE
- Hook API(挂钩API)技术
- “鼠标屏幕取词”技术
- 搜索的爬取技术
- “鼠标屏幕取词”技术
- 浅谈API HOOK技术
- 浅谈API HOOK技术
- API hook 技术
- C++多线程技术--API
- HOOK API技术介绍
- HOOK API技术
- C++多线程技术--API
- API Hook技术
- 百度地图API技术
- 米老师讲课(一年回顾)
- HDU3311-Dig The Wells
- UVa 1584
- 软件测试模型分类
- jsp/servlet第三章第二节Page指令
- API钩取技术
- 搭建Hadoop2.7.3+Hive2.1.1及MySQL(配置Hive+Hadoop)(二)
- 泛型Dao的简单编写
- Valid Sudoku —Leetcode
- Java Main方法中String[] args 与 String args[]区别
- 模板与特立独行的VS
- 四个线程(ABCD)输入四个文件(1,2,3,4)
- 五周第一次课 2017.11.13 安装软件包的三种方法、rpm包介绍、rpm工具用法、yum工具用法、yum搭建本地仓库
- jdk环境变量的配置