VB6实现Ring3下直接调用Ring0层函数,反一切R3下API Hook。

2023-11-07 22:38
文章标签 实现 函数 调用 api 直接 vb6 hook r3 ring3 ring0

本文主要是介绍VB6实现Ring3下直接调用Ring0层函数,反一切R3下API Hook。,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

接论坛帖子:http://topic.csdn.net/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html

例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。

添加Module1

[vb]  view plain copy
  1. Private asm_CallCode() As Byte, KiFastSystemCall&, KiIntSystemCall&  
  2. Private Declare Function CallWindowProcW& Lib "user32" (ByVal lpPrevWndFunc As LongByVal hWnd As LongByVal Msg As LongByVal wParam As LongByVal lParam As Long)  
  3. Private Declare Function LocalAlloc& Lib "kernel32" (ByVal f&, ByVal s&)  
  4. Private Declare Function LocalSize& Lib "kernel32" (ByVal m&)  
  5. Private Declare Function LocalFree& Lib "kernel32" (ByVal m&)  
  6. Private Declare Function GetModuleHandleA& Lib "kernel32" (ByVal n$)  
  7. Private Declare Function GetProcAddress& Lib "kernel32" (ByVal m&, ByVal n$)  
  8. Private Declare Function IsWow64Process& Lib "kernel32" (ByVal h&, IsWow64 As Boolean)  
  9. Private Declare Sub RtlMoveMemory Lib "kernel32" (ByVal Dst&, ByVal Src&, ByVal Size&)  
  10. Private Declare Sub PutMem1 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Byte)  
  11. Private Declare Sub PutMem2 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Integer)  
  12. Private Declare Sub PutMem4 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Long)  
  13. Private Declare Sub PutMem8 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Currency)  
  14.   
  15. Public Function ReadKrnlFunctionIndex&(ByVal Name$, Optional ByVal DllFile$ = "ntdll.dll"'//读取内核函数索引  
  16. Dim pEntry&, dwIndex&  
  17. pEntry = GetProcAddress(GetModuleHandleA(DllFile), Name)  
  18. RtlMoveMemory VarPtr(dwIndex), pEntry + 1, 4  
  19. ReadKrnlFunctionIndex = dwIndex  
  20. End Function  
  21.   
  22. Public Function InitCallKernel() As Boolean  '//这里初始化call代码  
  23. Dim bWow64 As Boolean  
  24. IsWow64Process -1, bWow64  
  25. If bWow64 Then Exit Function '//不支持x64  
  26. ReDim asm_CallCode(11)  
  27. KiFastSystemCall = GetProcAddress(GetModuleHandleA("ntdll.dll"), "KiFastSystemCall")  
  28. KiIntSystemCall = GetProcAddress(GetModuleHandleA("ntdll.dll"), "KiIntSystemCall")  
  29. If KiFastSystemCall = 0 Then Exit Function  
  30. If KiIntSystemCall = 0 Then Exit Function  
  31. asm_CallCode(0) = &HBA  
  32. RtlMoveMemory VarPtr(asm_CallCode(1)), IIf(CheckKiFastSystemCallHook, VarPtr(KiIntSystemCall), VarPtr(KiFastSystemCall)), 4 '//这里检测Hook,如果KiFastSystemCall被Hook、修改,就使用KiIntSystemCall  
  33. asm_CallCode(5) = &HB8  
  34. RtlMoveMemory VarPtr(asm_CallCode(6)), VarPtr(0&), 4  
  35. asm_CallCode(10) = &HFF  
  36. asm_CallCode(11) = &HD2  
  37. InitCallKernel = True  
  38. End Function  
  39.   
  40. Public Function CheckKiFastSystemCallHook() As Boolean  
  41. Dim bChar As Byte  
  42. RtlMoveMemory VarPtr(bChar), KiFastSystemCall, 1  
  43. If bChar = &HE9 Then CheckKiFastSystemCallHook = TrueExit Function '//检测jmp Hook  
  44. If bChar = &H68 Then CheckKiFastSystemCallHook = TrueExit Function '//检测push Hook  
  45. Dim dw3Char&  
  46. RtlMoveMemory VarPtr(dw3Char), KiFastSystemCall, 3  
  47. If dw3Char <> 1037451 Then CheckKiFastSystemCallHook = TrueExit Function '//检测函数头  
  48. End Function  
  49.   
  50. Public Function CallKernelFunction&(ByVal Name$, ByVal DllFile$, ParamArray pParam())  
  51. Dim dwIndex&  
  52. dwIndex = ReadKrnlFunctionIndex(Name, DllFile)  
  53. If dwIndex = 0 Then CallKernelFunction = -1: Exit Function  
  54. Dim ret&, i%, offset&  
  55. Dim hMem&  
  56. hMem = LocalAlloc(0, ((UBound(pParam) + 2) * 5) + UBound(pParam) + 1 + 1 + 12 + 1) '//申请代码内存  
  57. offset = hMem  
  58. For i = UBound(pParam) To 0 Step -1 '//压栈  
  59. PutMem1 offset, &H68 'push Param  
  60. offset = offset + 1  
  61. PutMem4 offset, pParam(i)  
  62. offset = offset + 4  
  63. Next  
  64. PutMem1 offset, &H68 'push Return Address  
  65. PutMem4 offset + 1, VarPtr(ret)  
  66. offset = offset + 5  
  67. RtlMoveMemory VarPtr(asm_CallCode(6)), VarPtr(dwIndex), 4 '//设置内核函数索引  
  68. RtlMoveMemory offset, VarPtr(asm_CallCode(0)), 12 '//把初始化的代码整个复制过去,省得重造轮子  
  69. offset = offset + 12  
  70. For i = 0 To UBound(pParam) + 1 '//出栈  
  71. PutMem1 offset, &H59 'pop  
  72. offset = offset + 1  
  73. Next  
  74. PutMem1 offset, &HC3 'retn  
  75. PutMem1 hMem + LocalSize(hMem), &H90 '//nop一行代码  
  76. CallKernelFunction = CallWindowProcW(hMem, 0, 0, 0, 0) 'call  
  77. LocalFree hMem '//释放内存  
  78. End Function  
添加Form1,一个Command1

[vb]  view plain copy
  1. Private Declare Function TextOut& Lib "gdi32" Alias "TextOutA" (ByVal DC As LongByVal X As LongByVal Y As LongByVal Text As StringByVal Size As Long)  
  2. Private Declare Function CreateThread& Lib "kernel32" (Optional ByVal Attributes As LongOptional ByVal StackSize As LongOptional ByVal Address As LongOptional Parameter As LongOptional ByVal CreationFlags As LongOptional TIDs As Long)  
  3. Private Type CONTEXT  
  4. ContextFlags As Long  
  5. Dr(5) As Long  
  6. FloatSave(111) As Byte  
  7. SegGs As Long  
  8. SegFs As Long  
  9. SegEs As Long  
  10. SegDs As Long  
  11. Edi As Long  
  12. Esi As Long  
  13. Ebx As Long  
  14. Edx As Long  
  15. Ecx As Long  
  16. Eax As Long  
  17. Ebp As Long  
  18. Eip As Long  
  19. SegCs As Long  
  20. EFlags As Long  
  21. Esp As Long  
  22. SegSs As Long  
  23. End Type  
  24.   
  25. Private Function GetAddr&(ByVal aaa&)  
  26. GetAddr = aaa  
  27. End Function  
  28.   
  29. Private Sub Command1_Click()  
  30. Dim hThread&  
  31. hThread = CreateThread(0, 0, 0, 0, 4, 0)'线程状态为暂停(开始地址为0,直接执行会崩)  
  32. MsgBox hThread  
  33. Dim i As CONTEXT  
  34. i.ContextFlags = 65543'CONTEXT_FULL  
  35. Me.Caption = CallKernelFunction("ZwGetContextThread""ntdll.dll", hThread, VarPtr(i))  
  36. i.Eip = GetAddr(AddressOf aaa)'更改执行地址  
  37. Me.Caption = CallKernelFunction("ZwSetContextThread""ntdll.dll", hThread, VarPtr(i))  
  38. CallKernelFunction "ZwResumeThread""ntdll.dll", hThread, 0'恢复线程运行  
  39. End Sub  
  40.   
  41. Private Sub Form_Load()  
  42. InitCallKernel  
  43. End Sub  
  44.   
  45. Private Sub Form_Paint()  
  46. Dim hDC&  
  47. hDC = CallKernelFunction("GetDC""user32.dll"Me.hWnd) '频繁调用可测试稳定性  
  48. TextOut hDC, 5, 5, "123", 3  
  49.   
  50. Dim hProcess&  
  51. Dim objAttr&(5), cid&(1)  
  52. cid(0) = 1192 '改成你要打开的PID  
  53. CallKernelFunction "ZwOpenProcess""ntdll.dll", VarPtr(hProcess), 2035711, VarPtr(objAttr(0)), VarPtr(cid(0))  
  54. Me.Caption = hProcess  
  55. End Sub  
添加Module2

[vb]  view plain copy
  1. Public Declare Function ExitThread& Lib "kernel32" (ByVal ExitStatus&)  
  2. Public Sub aaa(ByVal Param&)  
  3. Dim i&  
  4. For i = 0 To 10000  
  5. Form1.Caption = i  
  6. Next  
  7. ExitThread 0  
  8. End Sub  

编译运行可测试效果

*******************************

下面这个可替换Module1,InitCallKernel时加True即可。

[vb]  view plain copy
  1. Private asm_CallCode() As Byte, asm_MyCallCode() As Byte, KiFastSystemCall&, KiIntSystemCall&, MyKiFastSystemCall#  
  2. Private Declare Function CallWindowProcW& Lib "user32" (ByVal lpPrevWndFunc As LongByVal hWnd As LongByVal Msg As LongByVal wParam As LongByVal lParam As Long)  
  3. Private Declare Function LocalAlloc& Lib "kernel32" (ByVal f&, ByVal s&)  
  4. Private Declare Function LocalSize& Lib "kernel32" (ByVal m&)  
  5. Private Declare Function LocalFree& Lib "kernel32" (ByVal m&)  
  6. Private Declare Function GetModuleHandleA& Lib "kernel32" (ByVal n$)  
  7. Private Declare Function GetProcAddress& Lib "kernel32" (ByVal m&, ByVal n$)  
  8. Private Declare Function IsWow64Process& Lib "kernel32" (ByVal h&, IsWow64 As Boolean)  
  9. Private Declare Sub RtlMoveMemory Lib "kernel32" (ByVal Dst&, ByVal Src&, ByVal Size&)  
  10. Private Declare Sub PutMem1 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Byte)  
  11. Private Declare Sub PutMem2 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Integer)  
  12. Private Declare Sub PutMem4 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Long)  
  13. Private Declare Sub PutMem8 Lib "msvbvm60" (ByVal Ptr As LongByVal NewVal As Currency)  
  14.   
  15. Public Function ReadKrnlFunctionIndex&(ByVal Name$, Optional ByVal DllFile$ = "ntdll.dll"'//读取内核函数索引  
  16. Dim pEntry&, dwIndex&  
  17. pEntry = GetProcAddress(GetModuleHandleA(DllFile), Name)  
  18. RtlMoveMemory VarPtr(dwIndex), pEntry + 1, 4  
  19. ReadKrnlFunctionIndex = dwIndex  
  20. End Function  
  21.   
  22. Public Function InitCallKernel(Optional ByVal IsMySysenter As BooleanAs Boolean  '//这里初始化call代码  
  23. Dim bWow64 As Boolean  
  24. IsWow64Process -1, bWow64  
  25. If bWow64 Then Exit Function '//不支持x64  
  26. ReDim asm_CallCode(11)  
  27. KiFastSystemCall = GetProcAddress(GetModuleHandleA("ntdll.dll"), "KiFastSystemCall")  
  28. KiIntSystemCall = GetProcAddress(GetModuleHandleA("ntdll.dll"), "KiIntSystemCall")  
  29. If KiFastSystemCall = 0 Then Exit Function  
  30. If KiIntSystemCall = 0 Then Exit Function  
  31. asm_CallCode(0) = &HBA  
  32. RtlMoveMemory VarPtr(asm_CallCode(1)), IIf(CheckKiFastSystemCallHook, VarPtr(KiIntSystemCall), VarPtr(KiFastSystemCall)), 4 '//这里检测Hook,如果KiFastSystemCall被Hook、修改,就使用KiIntSystemCall  
  33. If IsMySysenter Then RtlMoveMemory VarPtr(asm_CallCode(1)), VarPtr(InitMyCallKernel), 4 '//自己写sysenter,省得R3下被各种Hook  
  34. asm_CallCode(5) = &HB8  
  35. RtlMoveMemory VarPtr(asm_CallCode(6)), VarPtr(0&), 4  
  36. asm_CallCode(10) = &HFF  
  37. asm_CallCode(11) = &HD2  
  38. InitCallKernel = True  
  39. End Function  
  40.   
  41. Public Function InitMyCallKernel&() '//本来不想写这招的,可见他们说各种Hook,啊那就(<ゝω·)☆  
  42. PutMem4 VarPtr(MyKiFastSystemCall), 873452683  
  43. PutMem2 VarPtr(MyKiFastSystemCall) + 4, -13117  
  44. InitMyCallKernel = VarPtr(MyKiFastSystemCall)  
  45. End Function  
  46.   
  47. Public Function CheckKiFastSystemCallHook() As Boolean  
  48. Dim bChar As Byte  
  49. RtlMoveMemory VarPtr(bChar), KiFastSystemCall, 1  
  50. If bChar = &HE9 Then CheckKiFastSystemCallHook = TrueExit Function '//检测jmp Hook  
  51. If bChar = &H68 Then CheckKiFastSystemCallHook = TrueExit Function '//检测push Hook  
  52. Dim dw3Char&  
  53. RtlMoveMemory VarPtr(dw3Char), KiFastSystemCall, 3  
  54. If dw3Char <> 1037451 Then CheckKiFastSystemCallHook = TrueExit Function '//检测函数头  
  55. End Function  
  56.   
  57. Public Function CallKernelFunction&(ByVal Name$, ByVal DllFile$, ParamArray pParam())  
  58. Dim dwIndex&  
  59. dwIndex = ReadKrnlFunctionIndex(Name, DllFile)  
  60. If dwIndex = 0 Then CallKernelFunction = -1: Exit Function  
  61. Dim ret&, i%, offset&  
  62. Dim hMem&  
  63. hMem = LocalAlloc(0, ((UBound(pParam) + 2) * 5) + UBound(pParam) + 1 + 1 + 12 + 1) '//申请代码内存  
  64. offset = hMem  
  65. For i = UBound(pParam) To 0 Step -1 '//压栈  
  66. PutMem1 offset, &H68 'push Param  
  67. offset = offset + 1  
  68. PutMem4 offset, pParam(i)  
  69. offset = offset + 4  
  70. Next  
  71. PutMem1 offset, &H68 'push Return Address  
  72. PutMem4 offset + 1, VarPtr(ret)  
  73. offset = offset + 5  
  74. RtlMoveMemory VarPtr(asm_CallCode(6)), VarPtr(dwIndex), 4 '//设置内核函数索引  
  75. RtlMoveMemory offset, VarPtr(asm_CallCode(0)), 12 '//把初始化的代码整个复制过去,省得重造轮子  
  76. offset = offset + 12  
  77. For i = 0 To UBound(pParam) + 1 '//出栈  
  78. PutMem1 offset, &H59 'pop  
  79. offset = offset + 1  
  80. Next  
  81. PutMem1 offset, &HC3 'retn  
  82. PutMem1 hMem + LocalSize(hMem), &H90 '//nop一行代码  
  83. CallKernelFunction = CallWindowProcW(hMem, 0, 0, 0, 0) 'call  
  84. LocalFree hMem '//释放内存  
  85. End Function  


这篇关于VB6实现Ring3下直接调用Ring0层函数,反一切R3下API Hook。的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/366628

相关文章

Java中使用Java Mail实现邮件服务功能示例

Java中使用Java Mail实现邮件服务功能示例

《Java中使用JavaMail实现邮件服务功能示例》:本文主要介绍Java中使用JavaMail实现邮件服务功能的相关资料,文章还提供了一个发送邮件的示例代码,包括创建参数类、邮件类和执行结... 目录前言一、历史背景二编程、pom依赖三、API说明(一)Session (会话)(二)Message编程客
阅读更多...
Java中List转Map的几种具体实现方式和特点

Java中List转Map的几种具体实现方式和特点

《Java中List转Map的几种具体实现方式和特点》:本文主要介绍几种常用的List转Map的方式,包括使用for循环遍历、Java8StreamAPI、ApacheCommonsCollect... 目录前言1、使用for循环遍历:2、Java8 Stream API:3、Apache Commons
阅读更多...
C#提取PDF表单数据的实现流程

C#提取PDF表单数据的实现流程

《C#提取PDF表单数据的实现流程》PDF表单是一种常见的数据收集工具,广泛应用于调查问卷、业务合同等场景,凭借出色的跨平台兼容性和标准化特点,PDF表单在各行各业中得到了广泛应用,本文将探讨如何使用... 目录引言使用工具C# 提取多个PDF表单域的数据C# 提取特定PDF表单域的数据引言PDF表单是一
阅读更多...
使用Python实现高效的端口扫描器

使用Python实现高效的端口扫描器

《使用Python实现高效的端口扫描器》在网络安全领域,端口扫描是一项基本而重要的技能,通过端口扫描,可以发现目标主机上开放的服务和端口,这对于安全评估、渗透测试等有着不可忽视的作用,本文将介绍如何使... 目录1. 端口扫描的基本原理2. 使用python实现端口扫描2.1 安装必要的库2.2 编写端口扫
阅读更多...
PyCharm接入DeepSeek实现AI编程的操作流程

PyCharm接入DeepSeek实现AI编程的操作流程

《PyCharm接入DeepSeek实现AI编程的操作流程》DeepSeek是一家专注于人工智能技术研发的公司,致力于开发高性能、低成本的AI模型,接下来,我们把DeepSeek接入到PyCharm中... 目录引言效果演示创建API key在PyCharm中下载Continue插件配置Continue引言
阅读更多...
MySQL分表自动化创建的实现方案

MySQL分表自动化创建的实现方案

《MySQL分表自动化创建的实现方案》在数据库应用场景中,随着数据量的不断增长,单表存储数据可能会面临性能瓶颈,例如查询、插入、更新等操作的效率会逐渐降低,分表是一种有效的优化策略,它将数据分散存储在... 目录一、项目目的二、实现过程(一)mysql 事件调度器结合存储过程方式1. 开启事件调度器2. 创
阅读更多...
使用Python实现操作mongodb详解

使用Python实现操作mongodb详解

《使用Python实现操作mongodb详解》这篇文章主要为大家详细介绍了使用Python实现操作mongodb的相关知识,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、示例二、常用指令三、遇到的问题一、示例from pymongo import MongoClientf
阅读更多...
SQL Server使用SELECT INTO实现表备份的代码示例

SQL Server使用SELECT INTO实现表备份的代码示例

《SQLServer使用SELECTINTO实现表备份的代码示例》在数据库管理过程中,有时我们需要对表进行备份,以防数据丢失或修改错误,在SQLServer中,可以使用SELECTINT... 在数据库管理过程中,有时我们需要对表进行备份,以防数据丢失或修改错误。在 SQL Server 中,可以使用 SE
阅读更多...
基于Go语言实现一个压测工具

基于Go语言实现一个压测工具

《基于Go语言实现一个压测工具》这篇文章主要为大家详细介绍了基于Go语言实现一个简单的压测工具,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录整体架构通用数据处理模块Http请求响应数据处理Curl参数解析处理客户端模块Http客户端处理Grpc客户端处理Websocket客户端
阅读更多...
Java CompletableFuture如何实现超时功能

Java CompletableFuture如何实现超时功能

《JavaCompletableFuture如何实现超时功能》:本文主要介绍实现超时功能的基本思路以及CompletableFuture(之后简称CF)是如何通过代码实现超时功能的,需要的... 目录基本思路CompletableFuture 的实现1. 基本实现流程2. 静态条件分析3. 内存泄露 bug
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2