浅谈内联钩取原理与实现

2024-06-12 21:20

本文主要是介绍浅谈内联钩取原理与实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

导入地址表钩取的方法容易实现但是存在缺陷,若需要钩取的函数不存在导入地址表中,那么我们就无法进行钩取,出现以下几种情况时,导入函数是不会存储在导入地址表中的。

  • 延迟加载:当导入函数还没调用时,导入函数还未写入到导入地址表中。
  • 动态链接:使用LoadLibraryGetProcAddress函数时,程序是显式获取函数地址的,因此不会写入到导入地址表中。
  • 手动解析导入函数:即程序自身实现一套导入方法,那么此时也不会将导入函数写入到导入地址表中。

有一种钩取方法解决上述问题即内联钩取(inline hook)。

内联钩取(inline hook)

内联钩取实际是找到需要钩取的函数地址,这里与导入地址表钩取不同的是我们不在局限于导入地址表,而是程序中所有的函数地址都能够作为钩取的对象。

这里以CreateProcessW函数为例,在CreateProcessW函数中,第一条指令是mov edi,edi

image-20240506224301537

那么根据钩取的思路,我们将mov edi,edi这条指令修改为jmp xxxxxx为我们自定义函数的地址),那么在执行CreateaProcessW函数时即可跳转到我们的自定义函数中。

我们获取mov edi,edi指令的地址,并且将该指令篡改为jmp指令,并且把mov edi,edi指令的数据进行存储,那么在执行到CreateProcessW函数时就会执行jmp指令跳转到自定义函数中,在钩取操作时需要将指令写回,还原CreateProcessW函数的执行逻辑,就可以在钩取的同时无碍的执行程序。

image-20240506225530172

那么总结一下内联钩取函数的流程

  • 找到需要钩取的函数的指令地址,这个指令并不仅限于函数起始的指令。
  • 将该指令篡改成跳转指令,跳转的目的就是自定义的函数。
  • 在自定义函数内需要还原被钩取函数的指令。

因此内联钩取的实际就是修改程序执行逻辑,劫持程序的执行流程。由于32位程序与64位程序的汇编语言与寻址方式有些许差异,因此不同机器位数的程序的内联钩取方式不同。

机器码的获取

由于在篡改内存时需要将jmp xxx的机器码填写到内存中,因此做内联钩取时需要获取指令对应的机器码。在C语言中支持内联汇编,因此可以使用内联汇编然后查看对应的机器码即可。

但是直接使用visual studio编译64位程序的内联汇编代码会出错,这是因为visual studio自带的编译工具不支持x64的内联汇编。

image-20240507131700203

因此需要先安装clang编译器

image-20240507131840623

在项目的编译工具选择clang即可

image-20240507131913336

在反汇编窗口中就有机器码了。

image-20240507132015250

帮助网安学习,全套资料S信免费领取:
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

32位的内联钩取

首先第一步是确定在32位程序下是如何进行跳转的,在32位情况使用跳转指令是根据偏移获取目的地址,偏移的计算公式如下

跳转偏移 = 跳转目的地址 - 当前指令地址 - 指令长度

因此jmp xxx中,xxx是偏移值而不是目的函数的绝对地址。

紧接着需要确定在32位下跳转指令的机器码是多少,用下面例子看看

void MyCreateProcess()
{}int main()
{__asm {jmp MyCreateProcess;};}

可以看到对应的机器码为E9 EB FF FF FF

image-20240507134049072

可以看到目标函数的地址为0xA71000,使用上述公式计算一下偏移为0xA71000 - 0x0A71010 - 5 = 0xffffffeb,因此E9jmp的机器码

因此需要将待钩取函数的第一条指令修改为E9 XX XX XX XX XX,长度为5个字节

然后选择一个目标函数,这里还是使用CreateProcessW函数作为例子,需要先获取CreateProcessW函数的地址

    ...hMoudle = GetModuleHandleA(szDllName); //获取Kernel32.dll模块的地址if (hMoudle == NULL){GetLastError();}pfnOld = GetProcAddress(hMoudle, funName);//获取CreateProcessW函数地址if (pfnOld == NULL){GetLastError();}...

然后需要保存原始指令,然后修改区域为可写权限,紧接着计算一下偏移把完整的指令写进到待钩取函数即可。

	...//修改权限VirtualProtect(pfnOld, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);//存储原始的5个字节memcpy(pOrgBytes, pfnOld, 5);//计算需要跳转到的地址//跳转偏移 = 跳转目的地址 - 当前指令地址 - 指令长度dwAddress = (ULONGLONG)pfnNew - (ULONGLONG)pfnOld - 5;//将目标函数的地址写入到指令中memcpy(&pBuf[1], &dwAddress, 4);//篡改为跳转指令memcpy(pfnOld, pBuf, 5);//还原权限VirtualProtect(pfnOld, 5, dwOldProtect, &dwOldProtect);...

64位的内联钩取

64位下的规则会与32位有差异,但是总体思路是一致的。在32位下我们采用了偏移的方式找到目标函数,在64位下可以换种方式,采用mov rax, xxx; jmp rax,将函数的绝对地址写入寄存器,然后跳转到指定寄存器的方式。

如下例子,我们首先获取自定义函数的绝对地址,紧接着将它存放于寄存器中,紧接着跳转即可。

int main()
{__asm {mov rax, 0x1122334455667788;jmp rax;};}

可以看到mov rax, xxx; jmp rax指令的机器码为48 B8 xx xx xx xx xx xx xx xx FF E0,其中由于64位地址都是8字节的,因此需要xx需要填充8字节

image-20240507153239222

因此总体代码与32位区别不大,这里需要注意的是篡改的指令长度需要根据实际进行更改。

    /** 48 B8 88 77 66 55 44 33 22 11 mov rax, 0x1122334455667788* FF E0                         jmp rax* 需要12个字节进行跳转*///修改区域权限VirtualProtect((LPVOID)pfnOrg, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);//保存原有的12字节数据memcpy(pOrgBytes, pfnOrg, 12);//将HOOK函数的地址填进缓冲区//将目标地址拷贝到指令中memcpy(&pBuf[2], &pfnNew, 8);//篡改待钩取函数memcpy(pfnOrg, pBuf, 12);//恢复权限VirtualProtect((LPVOID)pfnOrg, 12, dwOldProtect, &dwOldProtect);

因此任意可以修改函数执行流程的汇编指令实际都可以例如push xxx; ret

完整代码可以参考https://github.com/h0pe-ay/HookTechnology/tree/main/Hook-InlineHook

总结

优势

  • 内联钩取相较于导入表钩取的选择性更广,可以选择任意的函数及函数内的任意指令地址。

劣势

  • 每次都需要脱钩后再进行挂钩,影响效率
  • 多线程写入时可能会出错

这篇关于浅谈内联钩取原理与实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1055370

相关文章

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

hdu4407(容斥原理)

题意:给一串数字1,2,......n,两个操作:1、修改第k个数字,2、查询区间[l,r]中与n互质的数之和。 解题思路:咱一看,像线段树,但是如果用线段树做,那么每个区间一定要记录所有的素因子,这样会超内存。然后我就做不来了。后来看了题解,原来是用容斥原理来做的。还记得这道题目吗?求区间[1,r]中与p互质的数的个数,如果不会的话就先去做那题吧。现在这题是求区间[l,r]中与n互质的数的和

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

浅谈主机加固,六种有效的主机加固方法

在数字化时代,数据的价值不言而喻,但随之而来的安全威胁也日益严峻。从勒索病毒到内部泄露,企业的数据安全面临着前所未有的挑战。为了应对这些挑战,一种全新的主机加固解决方案应运而生。 MCK主机加固解决方案,采用先进的安全容器中间件技术,构建起一套内核级的纵深立体防护体系。这一体系突破了传统安全防护的局限,即使在管理员权限被恶意利用的情况下,也能确保服务器的安全稳定运行。 普适主机加固措施:

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P